Cloud Compliance Report CSA-ES PDF

Ini c i a ti va c oord i na da y pat r o ci n ada po r :
Clo u d Co mpli a nce Report

CAPTULO ESPAOL DE CLOUD SEC URITY ALLIANCE
Versin 1 - mayo 2011
Ttulo: Cloud Compliance Report Copyright y derechos: CSA- ES (Cloud Security Alliance- Espaa) - ISMS Forum Spain.
Todos los derechos de esta Obra estn reservados a CSA-ES (Cloud Security Alliance-Espaa) y a ISMS Forum Spain. Los titulares reconocen el derecho a utilizar la Obra en el mbito de la propia actividad profesional con las siguientes condiciones: a) Que se reconozca la propiedad de la Obra indicando expresamente los titulares del Copyright. b) No se utilice con fines comerciales. c) No se creen obras derivadas por alteracin, trasformacin y/o desarrollo de esta Obra. - Los titulares del Copyright no garantizan que la Obra est ausente de errores. En los lmites de lo posible se proceder a corregir en las ediciones sucesivas los errores sealados. - El contenido de la Obra no constituye un asesoramiento de tipo profesional y/o legal. - No se garantiza que el contenido de la Obra sea completo, preciso y/o actualizado. - Eventuales denominaciones de productos y/o empresas y/o marcas y/o signos distintivos citados en la Obra son de propiedad exclusiva de los titulares correspondientes.
Ms informacin acerca de CSA-ES se puede consultar a travs de su pgina oficial: www.cloudsecurityalliance.es www.ismsforum.es/csa www.cloudsecurityalliance.org
Sobre CSA-ES:
Con 91 miembros fundadores, representativos de los distintos actores de la industria del Cloud Computing en Espaa, naci en mayo de 2010 el captulo Espaol de Cloud Security Alliance: CSA-ES, impulsado por ISMS Forum Spain y Barcelona Digital. CSA es la organizacin internacional de referencia en la que expertos de algo nivel debaten y promueven el uso de mejores prcticas para garantizar la seguridad y privacidad en el entorno del Cloud Computing. Por su parte, el captulo espaol ya cuenta con 200 miembros, siendo su mbito de inters el Compliance en la Nube. En este sentido existen tres grupos de trabajo especficos, como son: Privacidad y Cumplimiento Normativo en la Nube; Sistemas de Gestin de Seguridad de la Informacin, y Gestin de Riesgos en la Nube; y Contratacin, Evidencias Electrnicas y Auditora en la Nube. Los profesionales que conforman estos grupos han trabajado en este primer Report espaol en materia de Cloud Compliance. La estructura de CSA-ES consta de: Junta Directiva
Nombre Luis Buezo Bueno Jess Miln Lobo Jess Luna Garca Casimiro Juanes Nathaly Rey Gianluca DAntonio Elena Maestre Ramn Miralles Lpez Carlos Alberto Siz Pea Vctor A. Villagr Cargo, empresa Director EMEA IT Assurance, HP Technology Services Director de Riesgos Tecnolgicos y Seguridad Informtica de Bankinter Investigador, Technische Universitt Darmstadt (Alemania) Director Regional de Seguridad RMED de Ericsson Directora General de ISMS Forum Spain Chief Information Security Officer (CISO) del Grupo FCC Socio de Riesgos Tecnolgicos de PricewaterhouseCoopers Auditores S.L. Coordinador de Auditoria y Seguridad de la Informacin de la Autoridad Catalana de Proteccin de Datos Socio responsable del rea de GRC Governance, Risk y Compliance de Ecija Profesor Titular de Universidad. Dpto. Ingeniera Telemtica en la E.T.S.I. Telecomunicacin de la Universidad Politcnica de Madrid (UPM) Cargo en la Junta Directiva de CSA-ES Presidente - Comit Operativo Vicepresidente - Comit Operativo Vocal - Comit Operativo Vocal - Comit Operativo Vocal - Comit Operativo Vocal Vocal Vocal Vocal Vocal
Consejo Asesor
Nombre Pau Contreras Antoni Felguera Marcos Gmez Hidalgo Olof Sandstrom Cargo, empresa Director de Innovacin y Desarrollo de Negocio de Oracle Ibrica R+D Security Manager de Barcelona Digital Technology Centre Subdirector de Programas de INTECO Director General de Operaciones de Arsys
Los lderes de los Grupos de Trabajo

Nombre Miguel ngel Ballesteros Bastellesteros Antonio Ramos Mara Luisa Rodrguez Cargo, empresa Auditor en CEPSA Managing Partner en n+1 Intelligence & Research Security R&D Business Manager en Barcelona, Digital Centre Tecnolgic Grupo de Trabajo Privacidad y Cumplimiento Normativo en la Nube Sistemas de Gestin de Seguridad de la Informacin, y Gestin de Riesgos en la Nube Contratacin, Evidencias Electrnicas y Auditoria en la Nube
Cloud Compliance Report
Captulo Espaol de Cloud Security Alliance
ndice
1. 2. 3. 4.
Resumen ejecutivo Introduccin y justificacin del estudio Contenido del documento Cumplimiento legislativo en materia de Privacidad 4.1 Introduccin 4.2 Contenido del captulo 4.3 Legislacin aplicable 4.4 Encargado de tratamiento 4.5 Medidas de seguridad 4.6 Transferencias Internacionales 4.7 Ejercicio de derechos 4.8 Autoridades de control 4.9 Comunicacin de datos a otras autoridades 4.10 Conclusiones
9 12 14 18 18 21 23 25 32 36 42 46 51 54 58 58 58 59 60 60 62 67
5.
Cumplimiento con otras legislaciones 5.1 Introduccin 5.2 Contenido del captulo 5.3 Anteproyecto de Ley de modificacin de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones 5.4 Ley 11/2007, de Acceso Electrnico de los Ciudadanos a los Servicios Pblicos 5.5 Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Informacin y Comercio Electrnico 5.6 Ley Orgnica 10/1995, de 23 de noviembre, del Cdigo Penal 5.7 Aspectos Jurdicos Laborales
0. ndice i
6.
Sistemas de Gestin de la Seguridad de la Informacin en la nube 6.1 Introduccin 6.2 Contenido del captulo 6.3 Principios generales de despliegue de un SGSI 6.4 Fase I. Definicin y preparacin del SGSI 6.5 Fase II. Implantacin y operacin del SGSI 6.6 Fase III. Seguimiento y mejora del SGSI 6.7 Conclusiones
70 70 70 71 72 81 83 85 88 88 90 91 91 92 93 93 94 96 97 99 101 102 105 105 105 106 108 111
7.
Efectos de la computacin en la nube sobre la contratacin de servicios TIC 7.1 Introduccin 7.2 Contenido 7.3 Mecanismos de resolucin de conflictos 7.4 Confidencialidad 7.5 Propiedad Intelectual 7.6 Responsabilidad 7.7 Resolucin anticipada 7.8 Privacidad y proteccin de datos 7.9 Ley aplicable y jurisdiccin 7.10 Auditabilidad 7.11 Seguridad 7.12 Acuerdos de Nivel de Servicio (ANS) 7.13 Recomendaciones
8.
La obtencin de evidencias digitales en la nube 8.1 Introduccin 8.2 Contenido del captulo 8.3 La problemtica 8.4 Las amenazas principales y la prueba electrnica 8.5 Recomendaciones
0. ndice
9.
Auditora de entornos de computacin en la nube 9.1 Introduccin 9.2 Contenido del captulo 9.3 Metodologas y tecnologas de auditora. 9.4 Recomendaciones
113 113 114 115 117 120 123 125 125 127 133 138
10. Glosario 11. Referencias 12. Anexos Anexo I. Amenazas asociadas a tecnologas especficas Anexo II. Amenazas Anexo III. La prueba electrnica en el marco legal Espaol Anexo IV. Metodologas y tecnologas de auditora
0. ndice i
Resumen ejecutivo
El cumplimiento normativo es uno de los aspectos mencionados ineludiblemente por cualquier estudio relativo a la implantacin de modelos de computacin en la nube. Esta circunstancia, unida al hecho de que la regulacin espaola sobre la privacidad es modlica a nivel mundial, ha hecho que el captulo espaol de la Cloud Security Alliance se haya decidido a abordar este Cloud Compliance Report. Pero el enfoque del cumplimiento normativo se ha abordado de una manera amplia, no limitado a los aspectos sobre la privacidad, sino que incluye tambin otras normas exigibles en Espaa, as como, normativas de carcter voluntario, como la ISO/IEC 27001:2005 sobre Sistemas de Gestin de la Seguridad de la Informacin (SGSI) o un anlisis de los aspectos relacionados con la contratacin como pieza fundamental de la relacin entre cliente y proveedor de servicios en la nube. Adems de incluir todo este tipo de normas, el estudio ha ido un poco ms all e incluye tambin lo relacionado con la validacin del cumplimiento, es decir, analiza la realizacin de auditoras y la obtencin de evidencias digitales en entornos de computacin en la nube. Finalmente, resaltar que el estudio ha tomado en consideracin tanto el punto de vista del cliente como del proveedor de servicios para lo que ha sido fundamental que sus autores conformaran un grupo multidisciplinar y representativo de ambas perspectivas. En aquellos puntos donde es relevante, tambin existen reflexiones y recomendaciones por tipo de servicio (SaaS, PaaS o IaaS) y por tipo de despliegue (nube privada, pblica, hbirida). Uno de los principales objetivos del presente documento es aportar un enfoque metodolgico que ayude a abordar las necesidades de cumplimiento dentro de la computacin en la nube. Est claro que no podemos ver slo los beneficios del computacin en la nube y obviar sus implicaciones y riesgos, en especial, todo lo relacionado con el cumplimiento. Por otro lado, tampoco podemos recurrir sistemticamente a argumentos de seguridad y cumplimiento para paralizar las iniciativas en la nube. Todo es cuestin de balancear, identificando qu servicios, cmo y cundo se pueden ir implementando de manera adecuada en los diferentes modelos de computacin en la nube. La evolucin hacia la nube ser gradual y claramente los requerimientos de cumplimiento sern uno de los principales parmetros que irn marcando la velocidad de esta evolucin. En cuanto a las conclusiones ms relevantes de este estudio, aunque son difciles de resumir en tan poco espacio, s que es interesante resaltar que tienen un mismo hilo conductor: Aumentar la transparencia en la relacin entre cliente y proveedor de servicios de computacin en la nube como elemento bsico de confianza entre las partes (en este sentido, por ejemplo, contar con un proveedor certificado es un factor muy positivo). Estas recomendaciones, en gran medida, tambin podran ser de aplicacin a los modelos ms tradicionales de externalizacin de servicios (como el housing o el hosting), lo cual es lgico, puesto
1. Resumen ejecutivo
que la computacin en la nube podra considerarse como un salto cualitativo en los modelos de provisin de servicios TIC. De este modo, nos encontramos con recomendaciones como la de que los clientes informen a los proveedores sobre los tratamientos de datos de carcter personal que estn realizando y los requisitos que sobre ellos existen y que stos, a su vez, identifiquen e informen de las localizaciones en las que realizarn dichos tratamientos o de proveedores a los que ellos subcontraten parte de sus servicios, as como, que se establezcan mecanismos de coordinacin entre ambas partes para asegurar que se puede dar cumplimiento a los derechos de los afectados de manera responsable. En cuanto a la implantacin de SGSIs, tambin nos encontramos recomendaciones en sentido de ampliar los canales de comunicacin en materia, por ejemplo, de valoracin de riesgos, de incidencias, de variacin de los niveles de riesgo, as como de coordinacin (como, por ejemplo, en materia de definicin de roles y responsabilidades, respuesta a incidentes o realizacin de tareas de seguimiento y auditora), mecanismos stos especialmente relevantes en el caso de SGSIs encapsulados. En este punto, se incluye una reflexin especial en relacin a los alcances, en el sentido de que deben ser significativos para los servicios prestados en la nube. En relacin a la contratacin de servicios en la nube, las recomendaciones tambin tienen la misma orientacin, encontrndonos con referencias a los Acuerdos de Nivel de Servicio como herramientas fundamentales para definir y monitorizar el servicio, pero tambin con aspectos como determinar la propiedad intelectual de los distintos elementos de la provisin del servicio, establecer mecanismos de resolucin de conflictos o clarificar desde el inicio las leyes aplicables y la jurisdiccin aplicable. Para finalizar, en cuanto a los aspectos relacionados con la validacin del cumplimiento (evidencias y auditora), las recomendaciones hacen foco en los aspectos de coordinacin (quin debe encargarse de qu tarea en aspectos como elaboracin de mtricas, realizacin de revisiones, etc.), as como en el establecimiento de un entorno confiable mediante la implantacin de mecanismos como procedimientos de gestin de evidencias, medidas de proteccin de los registros de auditora, planificacin de auditoras, etc.
1. Resumen ejecutivo
10
Introduccin y justificacin del estudio
El pasado 21 de Mayo de 2010, ISMS Forum Spain y Barcelona Digital, centro tecnolgico de I+D+i especializado en seguridad, conjuntamente con la Cloud Security Alliance (CSA), anunciaron la creacin del captulo espaol del CSA. Como es ya conocido, CSA es la organizacin internacional de referencia en la que expertos de alto nivel debaten y promueven el uso de mejores prcticas para garantizar la seguridad y privacidad en el entorno de computacin en la nube. El captulo espaol, que se denomina CSA-ES, lo constituyeron inicialmente 91 miembros. Se trat del primer captulo de mbito nacional del CSA y se fund con la misin de avanzar en el desarrollo seguro de la tecnologa cloud computing (computacin en la nube) en Espaa, constituyendo un foro de discusin y aglutinamiento de los profesionales de seguridad en ste mbito de trabajo. Los principales objetivos de CSA-ES son promover un nivel de entendimiento entre consumidores y proveedores de cloud, potenciar el desarrollo de guas y buenas prcticas independientes, as como lanzar campaas de concienciacin y sensibilizacin sobre el uso adecuado y seguro de la nube. Cada captulo regional selecciona un mbito especfico de inters en relacin con la computacin en la nube. El hecho de que la regulacin espaola sobre la privacidad es modlica a nivel mundial, ha justificado que el CSA-ES seleccionara el rea de Compliance en la Nube, marcndose como objetivo desarrollar el presente documento, segn ratific la Junta Directiva, una vez que la misma fue constituida. Desde la fundacin de CSA-ES, se constituyeron 3 grupos de trabajo enfocados a trabajar en paralelo para el desarrollo del presente documento en las siguientes reas: Grupo de Trabajo 1: Privacidad y cumplimiento normativo Grupo de Trabajo 2: Sistemas de gestin de seguridad de la informacin y gestin de riesgos Grupo de Trabajo 3: Contratacin, evidencias electrnicas y auditora.. CSA-ES est convencido de que este Cloud Compliance Report, sin duda alguna, aportar un gran valor a la industria en virtud de que precisamente el cumplimento normativo es una de las barreras a la hora de implantar el modelo de computacin en la nube en muchas organizaciones, mxime teniendo en cuenta las rigurosas obligaciones de seguridad que vienen impuestas por la normativa de proteccin de datos de carcter personal, y la carencia de un nivel de entendimiento con reguladores y autoridades de control. El objetivo del Captulo es partir de una base general robusta en materia de cumplimiento, para despus, ir trabajando por sectores de inters (banca, salud, seguros, telecomunicaciones, etc.).
2. Introduccin y justificacin del estudio
12
Contenido del documento
Para abordar el estudio del cumplimiento en la nube, el captulo espaol de la Cloud Security Alliance dividi el tema considerando que el cumplimiento tiene dos estadios. En primer lugar, el inventariado. En este primer momento, lo que afrontamos es la identificacin de las normas que son de aplicacin a la Organizacin. Dentro de estas, podramos clasificar las normas de aplicacin a cualquier organizacin en: Normas generales, que a su vez, podran ser obligatorias (ordenamiento jurdico de los Estados normalmente) o voluntarias (cdigos tipo o mejores prcticas). Normas particulares, es decir, aquellas que aplican con carcter individual por aceptar los trminos de un contrato o normas sectoriales. Una vez superado este estadio enunciativo, vendra la etapa de validar el cumplimiento. Este cumplimiento se apoya en dos grandes ejes. Por un lado, las evidencias digitales que permiten demostrar hechos en los entornos telemticos y que son de especial relevancia en la nube y, como no, la auditora, como herramienta (que se apoya en mltiples ocasiones en evidencias digitales) para validar que una determinada organizacin, sistema o servicio cumplen con lo requerido por alguna de las normativas mencionadas anteriormente. Esta estructuracin de contenidos se concentr generando tres grupos de trabajo: El primer grupo de trabajo se centr en las normas generales y los resultados se encuentran en los captulos 4 y 5. Se ha decidido tratar la privacidad en un captulo propio, dada su especial relevancia en el contexto de la computacin en la nube, y la importancia de la normativa de proteccin de datos de carcter personal, especialmente en el contexto Europeo. El segundo grupo de trabajo se dedic a las normas voluntarias, ms concretamente, se concentr en los Sistemas de Gestin de la Seguridad de la Informacin en base a la norma ISO/IEC 27001:2005 dada su importancia a nivel mundial y mejor prctica generalmente aceptada y cuyo anlisis se encuentra en el Captulo 6. Finalmente, el tercer grupo se dedic a los aspectos restantes. A la contratacin, como mecanismo en el que se establecen los requisitos entre las partes (Captulo 7) y, por otro lado, en lo relacionado con la verificacin del cumplimiento, que se traduce en dos captulos independientes: las evidencias digitales (Captulo 8) y la auditora (Captulo 9).
3. Contenido del documento
14
La estructura resultante es la que puede apreciarse en el grfico adjunto (Ilustracin 1).
Ilustracin 1. Organizacin del contenido del documento

4. Privacidad Obligatorias 5. Otras Generales Voluntarias 6. SGSI
Normas
Compliance Report
Particulares
Contratacin
8. Evidencias digitales Validacin 9. Auditora
Por otra parte, aunque los aspectos cubiertos por este documento son algunos muy diferentes, se ha procurado mantener una misma estructura en todos los captulos de forma que sea fcil para el lector seguir la argumentacin a lo largo de todo el estudio pero que tambin puedan ser consultados de manera individual sin que sea necesario leer todo el informe para sacar provecho de su lectura. De esta forma, todos los captulos tienen los siguientes apartados: Una introduccin inicial que ayuda a centrar el tema en cuestin, explica por qu se aborda y su relacin con la computacin en la nube. Un apartado que explica el contenido del captulo de manera especfica para que el lector sepa dnde puede encontrar determinados aspectos que le interesen en mayor medida.
15
Finalmente, tras el desarrollo de cada aspecto se incluye un apartado final de conclusiones o recomendaciones a modo de compendio final de los aspectos ms relevantes del captulo. No obstante, durante el desarrollo de cada parte del documento se van realizando recomendaciones relativas a la materia en estudio en cada momento, por lo que es importante, si el lector est interesado en algn tema concreto que lea el captulo completo para obtener un mayor grado de detalle.
Ilustracin 2. Estructura de los captulos
Introduccin
Conclusiones / Recomendaciones
Estructura captulos
Contenido
Desarrollo
16
Cumplimiento legislativo en materia de Privacidad
4.1 Introduccin
Actualmente existen diversas definiciones y caractersticas de computacin en la nube, por lo que no es fcil dar una definicin clara a lo que podramos describir como un modelo para la prestacin de servicios y recursos (redes, servidores, capacidad de almacenamiento, aplicaciones y servicios) bajo demanda a travs de la red, caracterizado por su adaptabilidad, flexibilidad, escalabilidad, rapidez, optimizacin y eficiencia. Estos componentes pueden orquestarse, abastecerse, implementarse y desmantelarse rpidamente y escalarse en funcin de las dimensiones necesarias para ofrecer los servicios solicitados. Tambin puede definirse como que el modelo en la nube es, en la actualidad, una oferta de acceso inmediato y a un coste asequible (y a veces gratuito) a las tecnologas de la informacin cuya infraestructura, hardware, software y personal cualificado, se pone al alcance de empresas y particulares para ofrecer diversos productos y servicios. Siguiendo con la definicin que ofrece la Cloud Security Alliance (en adelante, CSA) de la computacin en la nube, las caractersticas esenciales de este modelo son: autoservicio a la carta, amplio acceso a la red, reservas de recursos en comn, rapidez y elasticidad y servicio supervisado [CSA, 2009]. De acuerdo con el documento de CSA Top Threats to Cloud Computing v1.0 [CSA, marzo 2010], y dada la importancia del fenmeno de la computacin en la nube, como demuestra la publicacin de otros informes similares como el de INTECO [Inteco, 2011], el del World Privacy Forum [WPF, 2009], etc., se pueden enumerar una serie de amenazas a tener en cuenta a la hora de desplegar un modelo de servicio en la nube como seran: Interfaces y APIs1 poco seguros, problemas derivados de las tecnologas compartidas, prdida o fuga de informacin, secuestro de sesin, riesgos por desconocimiento, migracin de servicios hacia otro proveedor, amenaza interna y mal uso o abuso del servicio. A estos riesgos asociados a este modelo de computacin, que adems destacan por su falta de histricos, habra que aadir otros como son los accesos de usuarios con privilegios, la localizacin y el aislamiento de los datos, la recuperacin, el soporte investigativo, la viabilidad a largo plazo, la falta de control de la gestin y seguridad de los datos, las cesiones no consentidas o las transferencias internacionales no autorizadas, en definitiva, la privacidad de los datos en la nube y el cumplimiento normativo o legal. Conviene recordar que aspectos como las transferencias internacionales, las subcontrataciones o las distintas jurisdicciones de las diferentes autoridades de control son difciles de resolver en este modelo de computacin, segn entendemos la normativa actualmente.
1
Application Programming Interface
4. Cumplimiento legislativo en materia de Privacidad
18
Tampoco conviene olvidar que es casi imposible cumplir con el precepto de verificacin del cumplimiento del encargado del tratamiento por el responsable del fichero dada la diferencia de tamao y capacidad negociadora de las organizaciones que a veces estn implicadas en el proceso. A su vez, existen muchos retos desde el punto de vista del cumplimiento normativo y la privacidad que tratan de dar una respuesta adecuada a los riesgos correspondientes enumerados en el prrafo anterior. Este captulo viene a estudiar los diferentes aspectos contemplados anteriormente con objeto de poder ayudar al lector a establecer pautas para abordar los retos que conlleva el modelo de computacin en la nube desde la perspectiva espaola. Las razones para ello son, principalmente dos: La primera y ms evidente es que constituye la aportacin del captulo espaol de la Cloud Security Alliance. La segunda, obedece a que Espaa cuenta en la actualidad con la normativa ms rigurosa en materia de proteccin de datos personales. Espaa ha sido el pas europeo que ha desarrollado con mayor intensidad, los principios consagrados por la Directiva 95/46/CE, que a su vez es el marco jurdico ms garantista que se conoce, en materia de proteccin de datos. Esto permite afirmar que cualquier prestacin de servicios en la nube, que cumpla con los requisitos exigidos por la normativa espaola, puede cubrir los requisitos exigidos por las normativas de otros Estados. Antes de entrar a analizar la normativa espaola de proteccin de datos, conviene realizar una referencia sucinta de los marcos normativos existentes.
4.1.1 Estados Unidos

En Estados Unidos, la proteccin de datos personales no est considerada como un derecho fundamental. Existe una poltica legislativa de mnimos que fomenta la autorregulacin en el sector privado. Con un enfoque mercantilista, se persigue la proteccin de los derechos de los ciudadanos, desde la perspectiva de la proteccin del consumidor. No obstante, existen desarrollos normativos verticales que buscan adaptarse al contexto especfico en cuanto a la naturaleza de los datos, la finalidad de su tratamiento, o la naturaleza responsable de dicho tratamiento. A modo de ejemplo podemos mencionar: Electronic Communications Privacy Act de 1986, Electronic Funds Transfer Act, Telecommunications Act de 1996, Fair Credit Reporting de 1970 y Consumer Credit Reporting Reform Act de 1996, Right to Financial Privacy Act, entre otras. En cuanto a la aplicacin, son los propios titulares de los datos quienes deben velar por el cumplimiento de la normativa que regula el tratamiento de sus datos, a travs del ejercicio de los derechos que se les reconocen.
4.1.2 Europa
En Europa, la proteccin de datos personales est considerada como un derecho fundamental. En lnea con una tradicin jurdica positivista, se ha acentuado la labor legislativa con el fin de establecer un sistema garantista (de hecho, el ms garantista que existe en la actualidad) en aras de asegurar una la proteccin efectiva a los derechos de los ciudadanos. La Directiva 95/46/CE [Directiva, 1995] constituye el marco europeo de referencia. En esta Directiva se establecen ciertos principios, que los Estados Miembros ha tenido que transponer en sus respectivos ordenamientos, a saber:
19
1. 2. 3. 4. 5. 6. 7. 8.
Informacin. Consentimiento. Finalidad. Calidad. Seguridad. Derechos de Acceso, Rectificacin, Cancelacin y Oposicin. Autoridad de Control independiente. Limitacin a las trasferencias internacionales de datos.
El enfoque europeo ha servido tambin como fuente de inspiracin para otras legislaciones, principalmente de corte continental, que han incorporado o estn incorporando estos principios, evidentemente para proteger los derechos de los ciudadanos, pero tambin, para favorecer el trfico econmico con los pases miembros de la Unin. Argentina,Chile y Colombia y Mxico son algunos ejemplos en este sentido.
4.1.3 Safe Harbor Principles

El trmino Safe Harbor Privacy Principles, se refiere a los principios de privacidad a los que deben adherirse las organizaciones estadounidenses, para poder ser importadores de datos personales provenientes de los Estados miembros de la Unin Europea. Estos principios fueron publicados en el ao 2000 por el Departamento de Comercio de los Estados Unidos. La adhesin a ellos pretende asegurar la aplicacin, por parte del importador, de unos niveles de proteccin adecuados que sean equiparables a los establecidos por la Directiva. Con la adhesin, el importador se obliga a observar ciertos principios rectores en tratamiento de datos personales, como son: 1. Notificacin e informacin a los titulares, previos a la recogida de datos. 2. Derecho de oposicin a la comunicacin de datos a terceros o a los usos incompatibles con el objeto inicial de la recogida. 3. Abstencin de transferencia ulterior de datos a terceros que no se hayan adherido a los principios de Safe Harbor. 4. Obligacin de implementar medidas de seguridad. 5. Calidad de los datos. 6. Reconocimiento de los derechos de acceso y rectificacin a los afectados. 7. Necesidad de adoptar mecanismos que brinden garantas para la aplicacin de los principios.
4.1.4 Marco APEC2

Comparte los principios de proteccin de datos personales de la Directiva Europea, no obstante, presenta grandes diferencias en cuanto a la aplicacin. En el modelo europeo, las autoridades de proteccin de datos regulan y verifican el cumplimiento de dichos principios, mientras que en el modelo APEC esto se lleva cabo, a travs de mecanismos de autoregulacin verificados por organismos pblicos o privados, de modo que no se garantiza que se obligue desde el Estado.
De las sigas en ingls de Asia-Pacific Economic Cooperation, en espaol, Foro de Cooperacin Econmica Asia-Pacfico.
20
Al igual que el modelo estadounidense, existe un enfoque desde el punto de vista consumidor y es un modelo ex post, en el que una autoridad pblica o privada puede intervenir slo despus de que se ha producido la supuesta violacin.
4.1.5 Habas Data

En los pases con el modelo Hbeas Data, la proteccin de datos se asocia con un derecho a conocer, actualizar y a rectificar datos. Estos modelos presentan las siguientes caractersticas: Existen mecanismos de garanta procesal o judicial. La intervencin de la autoridad es siempre ex-post, es decir, la normativa no implica cumplimiento de obligaciones ex-ante por parte de las organizaciones. Inexistencia de autoridades de control. Legitimacin personas que han sufrido una lesin en su intimidad por el uso abusivo de sus datos.
4.1.6 Resolucin de Madrid sobre Estndares Internacionales sobre Proteccin de Datos Personales y Privacidad
Este documento, producto de la labor conjunta de los garantes de la privacidad de casi cincuenta pases, bajo coordinacin de la Agencia Espaola de Proteccin de Datos, ha desembocado en un texto que trata de plasmar los mltiples enfoques que admite la proteccin de este derecho, integrando legislaciones de los cinco continentes. Tal y como establece la Disposicin Primera del Documento, los Estndares tienen por objeto Definir un conjunto de principios y derechos que garanticen la efectiva y uniforme proteccin de la privacidad a nivel internacional, en relacin con el tratamiento de datos de carcter personal; y Facilitar los flujos internacionales de datos de carcter personal, necesarios en un mundo globalizado. Aunque no tiene un carcter vinculante, estos Estndares establecen un compromiso poltico de quienes lo han suscrito, en el sentido de servir como referencia a los Estados que en la actualidad no hayan legislado sobre la materia, y de servir como referencia para la armonizacin de la normativa existente, en aras de que la normativa sobre proteccin de datos y la privacidad no se constituya un obstculo al comercio internacional; facilitndose el flujo de los datos de carcter personal y la uniformidad de la misma.
4.2 Contenido del captulo

El objetivo del captulo, por tanto, es plasmar los resultados del estudio sobre el cumplimiento normativo y privacidad en computacin en la nube tomando como base la legislacin europea y haciendo referencia a otra normativa cuando sea necesario. El informe se estructura de la siguiente forma: Un primer apartado de introduccin donde se explica la motivacin del anlisis, las ventajas, y los riesgos de este modelo de procesamiento.
21
Este segundo apartado donde se explica la estructura y contenido del informe, con una breve explicacin del contenido de cada uno de ellos. Un tercer apartado con un resumen ejecutivo donde, mediante una visin rpida, el lector se puede hacer una idea bastante aproximada del cumplimiento normativo en la computacin en la nube. A continuacin, el cuarto apartado, estudia con ms detalle cada uno de los aspectos que se consideran relevantes a la hora de establecer un modelo de proceso basado en la computacin en la nube. El anlisis de cada uno de estos aspectos se estructura de la misma forma, una descripcin general, los aspectos mas relevantes de la situacin analizada en base a los modelos de servicio y despliegue de la nube, la legislacin que le aplica y, finalmente, las recomendaciones que se proponen desde el punto de vista de proveedor o cliente del servicio sin olvidar, cuando sea necesario, el punto de vista de las personas afectadas. En el apartado de las medidas de seguridad se sigue una estructura diferente, estudindose las diferentes medidas desde el punto de vista de la empresa proveedora y de la empresa que contrata. El primer punto empieza estudiando la legislacin aplicable segn el responsable del tratamiento resida en un pas dentro del Espacio Econmico Europeo o fuera de l. El segundo punto estudia la figura del encargado del tratamiento, como proveedor del servicio en la nube, repasando la subcontratacin y otros agentes operadores de telecomunicaciones. El tercer punto se centra en las medidas de seguridad analizando los principales aspectos de las mismas como son el documento de seguridad, el control de acceso, la gestin de incidencias, las copias de seguridad y las auditoras. El cuarto punto trata las transferencias internacionales, tanto desde de la situacin en que no exista comunicacin de datos a un tercero como cuando se da esta comunicacin y la diferenciacin de un pas con nivel adecuado de proteccin o sin nivel adecuado. El quinto punto aborda el ejercicio de los derechos por los interesados tanto en sus caractersticas como requisitos y riesgos. El sexto punto analiza el papel de las autoridades de control en tanto a la determinacin de la jurisdiccin a aplicar en el caso de una denuncia o tutela de derechos y la ejecucin efectiva de las resoluciones. El sptimo punto considera la comunicacin de datos a otras autoridades bien por requerimientos de leyes o de organismos tanto desde el mbito nacional como de otros pases. La audiencia de este documento son los clientes y usuarios de los recursos ofrecidos mediante modelos de computacin en la nube y los proveedores de los mismos, sirviendo como referencia para solicitar y ofrecer soluciones en lo relativo a la privacidad de los datos en la nube, el cumplimiento normativo o legal y los mecanismos de seguridad y acuerdos necesarios para controlarlos.
22
4.3 Legislacin aplicable3 4.3.1 Descripcin general4

La normativa sobre legislacin aplicable a los tratamientos de datos personales se encuentra descrita en el artculo 4 de la Directiva de Proteccin de Datos [Directiva 1995]. Este artculo tiene dos partes bien diferenciadas. La primera, hace referencia a la ley aplicable a responsables de tratamiento que estn establecidos en un Estado miembro del Espacio Econmico Europeo (EEE)5. La segunda, de manera que puede resultar sorprendente pues podra suponer un cierto grado de aplicacin extraterritorial de la Directiva, a aquellos responsables que, sin estar establecidos en el EEE, utilizan medios situados en el mismo para el tratamiento de datos personales. Para el primer caso, el concepto clave para la determinacin de la legislacin aplicable es el de la ubicacin del establecimiento del responsable del tratamiento en conjuncin con las actividades de tratamiento que se llevan a cabo conforme al apartado 1 del artculo 4 de la Directiva, letra a). Por lo tanto, no siempre existe una nica ley aplicable para todas las operaciones de un determinado responsable de tratamiento de datos personales: Si dicho responsable est establecido en distintos Estados miembros del EEE y trata datos personales en el mbito de las actividades de varios de ellos, a cada uno de estos tratamientos se le aplicara un Derecho nacional diferente6, lo que nos lleva a considerar el segundo elemento esencial para determinar la ley aplicable, para qu responsable se lleva a cabo el tratamiento. Por ejemplo, un responsable establecido en Blgica tiene tiendas en diversos pases europeos (por ejemplo, Blgica, Alemania, Portugal, Francia e Italia) pero las acciones de marketing estn centralizadas en Blgica y todos los datos de los clientes para esta finalidad se tratan en all. En este caso, y para ese tratamiento especfico, independientemente del lugar en que se recojan los datos, la ley aplicable ser la belga7. No obstante, esta regla tiene un corolario y es el que se desprende de la aplicacin del apartado tercero del artculo 17 de la Directiva y que se refiere a las medidas de seguridad que deben aplicar los encar3
5 6
En este estudio no se abordar la casustica de aquellos servicios que se contratan directamente (ya sea gratuitamente o no) por los usuarios finales al proveedor de computacin en la nube (ejemplos de ellos son los servicios de correo electrnico en la nube o las redes sociales) ni aquellos casos en los que el proveedor de servicios tpicamente un encargado de tratamiento en la terminologa de proteccin de datos se transforma tambin en responsable por utilizar los datos personales para finalidades propias (lcita o ilcitamente) como, por ejemplo, un proveedor de servicios IaaS que utiliza los datos confiados a su custodia para, a travs de herramientas de minera de datos, establecer perfiles de hbitos de compra para su explotacin o su venta a terceros. Para una discusin en profundidad de este asunto se puede consultar el Dictamen 8/2010, sobre Ley Aplicable, del Grupo de Trabajo del Artculo 29. Formado por los estados de la Unin Europea e Islandia, Noruega y Lienchtenstein As, ni la nacionalidad ni el lugar de residencia de los afectados ni, incluso, la localizacin fsica de los sistemas de informacin donde se tratan datos personales son, en este caso, elementos relevantes para determinar el derecho aplicable a un tratamiento. No hay que confundir ley aplicable con jurisdiccin. Podra suceder que una autoridad de control de un estado miembro tuviera jurisdiccin para dictaminar sobre un determinado tratamiento de datos pero tuviera que hacerlo aplicando la ley de otro Estado miembro. En el ejemplo expuesto, en base a lo que establece el artculo 28 de la Directiva, si hubiera una reclamacin relativa a una accin de marketing llevada a cabo en Francia, la autoridad competente para resolverla sera la francesa, pero debera aplicar la legislacin belga.
23
gados de tratamiento de datos establecidos en un Estado del EEE. En efecto, este artculo dispone que los encargados de tratamiento, adems de estar sujetos a lo que dispone la ley del Estado en que est establecido el responsable del tratamiento, tambin han de aplicar las medidas de seguridad establecidas por la legislacin del Estado miembro en que estn establecidos y, en caso de que hubiera un conflicto entre ambas, prevalecer esta ltima. La segunda parte que se mencionaba al inicio de esta seccin se refiere a la aplicacin de las previsiones de la Directiva8 a un responsable que, aun no estando establecido en un Estado del EEE recurre para el tratamiento de datos personales, a medios, automatizados o no, situados en el territorio de dicho Estado miembro, salvo en caso de que dichos medios se utilicen solamente con fines de trnsito por el territorio de la Comunidad Europea. En este caso, el responsable del tratamiento deber designar un representante establecido en el territorio del Estado miembro de que se trate. As pues, en el caso de un proveedor de servicios en la nube establecido, por ejemplo, en Estados Unidos, pero que utiliza, para determinados tratamientos de datos, servidores ubicados en un Estado del EEE, la legislacin aplicable a los mismos ser la de este Estado y, de hecho, el proveedor exportar la legislacin europea a los tratamientos de datos personales que lleven a cabo sus clientes.
4.3.2 Aspectos ms relevantes

En relacin con la legislacin aplicable a de responsables ubicados en el EEE, el modelo de servicio o de despliegue es irrelevante ya que, en cualquier caso, la determinacin de la ley aplicable tan solo depender del Estado en que est establecido el responsable del tratamiento que ha contratado los servicios de computacin en la nube y no del lugar en que se localicen los proveedores de dichos servicios o los equipos de tratamiento utilizados por los mismos. No obstante, tambin puede tenerse que tomar en consideracin la legislacin sobre seguridad de otro Estado miembro si el proveedor de servicios en la nube est establecido en dicho Estado miembro distinto del cual en el que est establecido el cliente. Para el caso en que el cliente de un servicio de computacin en la nube (que ser el responsable de los tratamientos de carcter personal) no est establecido en el EEE pero su proveedor de servicios utilice medios o equipos ubicados en un Estado miembro del EEE para prestarle los servicios, como antes se ha mencionado, ste le exporta automticamente la aplicabilidad de los requisitos de la legislacin de proteccin de datos del pas de que se trate9.
4.3.3 Legislacin aplicable

Los artculos que regulan la ley aplicable a un tratamiento de datos son el artculo 4 de la Directiva de Proteccin de Datos en el que se ha basado el anlisis llevado a cabo en este captulo, el artculo 2 de la Ley Orgnica 15/1999 de Proteccin de Datos de Carcter Personal (en adelante, LOPD) y el artculo 3 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo
En el bien entendido que lo que esta frase significa en la realidad es la aplicacin de la legislacin que el Estado miembro correspondiente haya aprobado al transponer la Directiva. No se tratar el caso descrito en la letra b) del apartado primero del artculo 4 por ser un caso residual y de escasa relevancia para el objeto de este estudio. 9 Como se puede apreciar, en este caso no es suficiente que el proveedor de computacin en la nube est establecido en un Estado del EEE sino que utilice medios que s estn ubicados dentro del EEE.
8
24
de la Ley Orgnica 15/1999, de 13 de diciembre, de proteccin de datos de carcter personal (en adelante, RLOPD)10.
4.3.4 Recomendaciones
Dado que la legislacin aplicable a una determinada operacin de tratamiento de datos personales no es algo que dependa de la voluntad de ninguna de las partes vinculadas por el contrato de prestacin de servicios en la nube, no hay mucho margen para realizar recomendaciones especficas. No obstante, se mencionarn algunos puntos que debern tenerse en cuenta. 4.3.4.1 Empresa proveedora Las empresas que utilicen medios situados en el territorio del EEE para prestar servicios a sus clientes debern ser conscientes que exportan la legislacin europea a todos aquellos que no estn establecidos en dicho espacio. Esto implica que las obligaciones de la legislacin de proteccin de datos del Estado miembro que corresponda les resulta de aplicacin y que, adems, ello les obliga a nombrar un representante en el Estado de que se trate11. Si sus clientes estn establecidos en el territorio del EEE, las obligaciones relativas a proteccin de datos (salvo, quizs, las referentes a medidas de seguridad) sern incumbencia de dichos clientes. 4.3.4.2 Empresa cliente Si es una empresa establecida en el territorio del EEE, independientemente de donde est ubicado su proveedor de servicios en la nube o los sistemas de tratamiento de la informacin de dicho proveedor, ella ser la responsable en trminos de proteccin de datos y le ser de aplicacin la ley del Estado en que est establecida. Si su proveedor est establecido en un Estado miembro diferente, deber tener en cuenta que puede existir la necesidad de analizar los requerimientos en materia de seguridad aplicables en el Estado de establecimiento del proveedor y que, en todo caso, si existe alguna incompatibilidad o conflicto entre ambas normativas, prevalece la del Estado de establecimiento del proveedor.
4.4 Encargado de tratamiento 4.4.1 Descripcin general

El concepto de encargado de tratamiento se determina en funcin de dos condiciones bsicas: Ser una entidad independiente del responsable del tratamiento y realizar el tratamiento de datos personales por cuenta de ste12.
10
11
12
De hecho, este artculo no transpone correctamente las normas sobre legislacin aplicable de la Directiva, ya que dispone que la LOPD solo es de aplicacin a tratamientos de datos personales llevados a cabo por responsables establecidos en Espaa y que se produzcan en territorio espaol lo que, como hemos visto, no es lo que establece la Directiva. El artculo 3 del RLOPD (sin entrar a valorar si ha de prevalecer o no sobre el rgimen de la LOPD) ha recogido de manera correcta el modelo de la Directiva. El Grupo de Trabajo del Artculo 29 reconoce en su Dictamen 8/2010 que esta previsin de la Directiva puede ocasionar problemas prcticos y econmicos pero, aun as, afirma que no existe otra interpretacin posible aunque aboga por una reflexin sobre este hecho en el marco de la futura revisin de la legislacin europea de proteccin de datos. Dictamen 1/2010 sobre los conceptos de responsable del tratamiento y encargado del tratamiento emitido por el Grupo de Trabajo del Art. 29. Este dictamen analiza el concepto de encargado del tratamiento, cuya existencia depende de una decisin adoptada por el responsable del tratamiento, que puede decidir que los datos se traten dentro de su organizacin o bien delegar todas o una parte de las actividades de tratamiento en una organizacin externa.
25
Dentro de la normativa de proteccin de datos espaola encontramos la definicin de encargado de tratamiento como la persona fsica o jurdica, autoridad pblica, servicio o cualquier otro organismo que, slo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento13. Tal como indica la Sentencia de la Audiencia Nacional de 20 de septiembre de 200214, el encargo de tratamiento se ampara en la prestacin de un servicio que el responsable del tratamiento recibe de una empresa ajena a su propia organizacin y que le ayuda en el cumplimiento de la finalidad del tratamiento de datos consentida por el afectado. Ahora bien, este tratamiento debe delimitarse, concretando el responsable el margen de actuacin del encargado en su funcin encomendada, o se puede dejar un cierto grado de discrecionalidad sobre cmo realizar su funcin en base a los intereses del responsable del tratamiento. Es aqu donde la figura del encargado de tratamiento se vincula al proveedor de servicios en la nube, ya que ste presta servicios de negocio y tecnologa, que permite al usuario acceder a un catlogo de servicios estandarizados de forma flexible y adaptativa, permitiendo a este proveedor que establezca los medios tcnicos y de organizacin ms adecuados. Por lo tanto, teniendo en cuenta la normativa aplicable y las obligaciones que conlleva, el proveedor de servicios en la nube podr determinar su responsabilidad como encargado de tratamiento en funcin de la tipologa de nube (pblica, privada, comunitaria o hbrida) y del servicio que decida contratar el responsable de tratamiento de los datos de carcter personal, ya que en funcin del modelo de despliegue de los servicios en la nube (modelo SPI), las responsabilidades del proveedor sern diferentes.

4.4.2.1 Proveedores de servicio La regulacin aplicable distingue claramente la figura entre responsable de tratamiento y encargado de tratamiento, estableciendo como obligacin principal la confidencialidad y seguridad de los datos15. El acceso a los datos por parte del proveedor de la nube para prestar sus servicios se condiciona, como premisa esencial, al cumplimiento del rgimen establecido por el artculo 12 de la LOPD. Este artculo establece la obligacin de la realizacin de un contrato formal entre el responsable de los datos, (cliente que contrata el servicio en la nube) y el encargado del tratamiento (proveedor del servicio en la nube)16. El cliente que contrata un proveedor de la nube que suponga el acceso a datos de carcter personal, debe tener claro los requisitos formales que establece el artculo 12 de la LOPD, ya que este artculo obliga a que el contrato conste por escrito o en alguna otra forma que permita acreditar su celebracin y contenido. Adems existe jurisprudencia17 que indica que, para la validez de la comunicacin de los datos del artculo 12 no es suficiente la existencia de un contrato, tambin es necesario que detalle las condiciones
Ver Art. 3. g.) Ley Orgnica de Proteccin de Datos. Sentencia de la AN, Sala de lo Contencioso-administrativo, Seccin 1, 20 sep. 2002 (Rec. 150/2000). 15 Ver artculos 2(d) y (e) de la Directiva 95/46/CE, artculo 3.g LOPD y artculo 5.1.i RLOPD. 16 Ver artculos 16 y 17 de la Directiva 95/46/CE. Artculo12.2 LOPD y artculos 20 y 22 RLOPD. 17 Sentencia de la Audiencia Nacional, Sala de los Contencioso-administrativo, seccin 1, 16 mar. 2006 (Rec. 427/2004).
13 14
26
que se establecen en dicho precepto y que garantice la seguridad de los datos impidiendo el acceso a los mismos de terceros18. En este contrato debe figurar el siguiente contenido: 1. Especificar y delimitar la finalidad para la que se comunican los datos (Art. 12.2 LOPD). 2. Establecer expresamente que el proveedor de la nube no puede comunicar estos datos a terceros, ni siquiera para su conservacin (Art. 12.2 LOPD). 3. Implementar las medidas de seguridad que debe cumplir el responsable en funcin del tipo de datos que contenga el fichero y el nivel de seguridad aplicado (Art. 9 y 12.2 LOPD). 4. Delimitar el tiempo de ejecucin del servicio. 5. Determinar de forma concreta las condiciones de devolucin de los datos o destruccin de los datos una vez cumplido el servicio (Art. 12.3 LOPD y 22RLOPD). 6. Existencia de una clausula de confidencialidad, tanto al proveedor de la nube, como a sus empleados que puedan acceder a los datos. 7. Establecer la obligacin del encargado, en el caso de que los interesados ejerciten sus derechos ARCO19 ante el mismo, de dar traslado de la solicitud al responsable. A excepcin, en el caso de que exista un acuerdo entre el proveedor de la nube y el cliente de que dicha gestin la realice directamente el encargado de tratamiento. Otro criterio a tener en cuenta en base a la normativa de proteccin de datos es la obligacin del encargado de tratamiento a disponer de un Documento de Seguridad, ya que el proveedor de la nube, segn el tipo de nube y el servicio que preste al responsable, encaja como agente tratante definido en el artculo 82.2 del RLOPD. Este documento de seguridad debe cumplir con los requisitos que le exige el artculo 88 del RLOPD. Por lo tanto, podemos decir que, tanto el encargado de tratamiento como el responsable del tratamiento, tienen las mismas obligaciones de cumplimiento de implementacin de las medidas de seguridad que exige la normativa. Adems, se debe tener en cuenta que el RLOPD, en su artculo 20.2, exige al responsable, es decir al cliente que contrata el servicio en la nube, que vigile el cumplimiento por parte del encargado de tratamiento, y por tanto, se obliga al responsable tener una diligencia a travs de algn sistema que permita la realizacin de controles peridicos. En cuanto a la posibilidad de existencia de subcontratacin de servicios externos por parte del proveedor de computacin en la nube, en los cuales estos subencargados tengan acceso a datos de carcter perso-
18
19
Los aspectos de contratacin se tratan especficamente en el Captulo 7, no obstante, se incluyen en este captulo los requerimientos de contratacin especficos en materia de privacidad establecidos por la LOPD. Acrnimo utilizado comnmente para referirse a los derechos de acceso (A), rectificacin (R), cancelacin (C) y oposicin (O) de los titulares de los datos.
27
nal, la ley no descarta la legitimidad de esta posibilidad, pero obliga a cumplir los siguientes requisitos (incluidos en el artculo 21 RLOPD): Que los servicios que se pretende subcontratar se hayan previsto en el contrato entre el proveedor y el cliente de este servicio. Que se especifique en el contrato el contenido detallado del servicio subcontratado. El cliente debe establecer las instrucciones de cmo tratar los datos. En definitiva, las empresas que deseen contratar un servicio de computacin en la nube, deben tener en cuenta que existe una normativa estatal que impone al encargado del tratamiento la obligacin de procesar los datos del cliente de acuerdo con el sistema de seguridad establecido por la regulacin de proteccin de datos. 4.4.2.2 Otros agentes En la prestacin de los servicios del proveedor de computacin en la nube intervienen otros agentes sin los que no sera posible la comunicacin y el acceso a la informacin en la nube. Dichos agentes son los operadores de telecomunicaciones y los prestadores de servicios de acceso a la red. Estos operadores explotan las redes pblicas de comunicaciones gestionando y garantizando el trfico de datos que circulan por su infraestructura o prestan servicios de comunicaciones electrnicas, disponibles al pblico, consistentes en permitir el acceso a las redes pblicas de comunicaciones entre otros servicios. En tal supuesto, los datos de los abonados o usuarios son aquellas personas fsicas o jurdicas que contratan el servicio ya sea directamente al operador que hace a la vez de proveedor de servicios de Internet (ISP, por sus siglas en ingls) o a travs de un tercero que alquila los servicios de explotacin al operador de red. Por lo tanto, al considerarse sujetos obligados en base a la siguiente normativa20: Ley 25/2007, de 18 de octubre, de conservacin de datos relativos a las comunicaciones electrnicas y a las redes pblicas de comunicaciones. Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones. Se establece una serie de requisitos, en relacin a la proteccin de datos, que se deben cumplir21: Identificar al personal autorizado para acceder a los datos que son objeto de esta Ley. Adoptar medidas de seguridad con sujecin a lo dispuesto en el Ttulo VIII del RLOPD. En base a la normativa aplicable se establece que el operador de telecomunicaciones que no preste servicios de acceso a la red directamente al abonado podra considerarse prestador de servicios sin acceso
20 21
Esta legislacin se analiza en detalle en el Captulo 5. Ver Art. 8 de la Ley 25/2007 Proteccin y seguridad de los datos y Art. 34 de la Ley 32/2003 Proteccin de datos de carcter personal.
28
a datos personales de los ficheros de los abonados o usuarios (que actan en calidad de responsables de tratamiento)22 al tener prohibido en base al artculo 3.3 de la ley 25/2007 la conservacin de ningn dato que revele el contenido de las comunicaciones a excepcin de los supuestos de interceptacin de las comunicaciones autorizadas en base a lo contemplado en leyes especiales. Por lo tanto, deber cumplir con el artculo 83 del RLOPD. El ISP podra equipararse a la figura del operador de telecomunicaciones, en el supuesto que se limite a prestar servicio de acceso a la red y, por tanto, se considere que presta un servicio sin acceso a datos personales de los ficheros de los abonados o usuarios debido a la prohibicin de conservar ningn dato que revele el contenido de las comunicaciones segn el artculo 3.3 de la ley 25/2007 a excepcin de los supuestos de interceptacin de las comunicaciones autorizadas en base a lo contemplado las leyes especiales. Por lo tanto, al igual que el operador de telecomunicaciones, tambin deber cumplir con el artculo 83 del RLOPD. En el supuesto de que el ISP preste servicios complementarios de housing o hosting de correo electrnico o disco duro virtual, por ejemplo, debera considerarse encargado de tratamiento de los datos contenidos en los ficheros de los abonados y por tanto cumplir con los requisitos del artculo 12 LOPD y artculos 20 a 22 del RLOPD.
Abordando el tratamiento de datos desde un punto de vista de ciclo de vida y teniendo en cuenta las obligaciones y el cumplimiento legal, se pueden enumerar una serie de recomendaciones bsicas para cada uno de los perfiles posibles: Empresa proveedora de servicios en la nube, empresa contratante de las mismas y usuarios23. El concepto de tratamiento de datos engloba las fases de creacin, almacenamiento, uso, comparticin o comunicacin, archivo y cancelacin de la informacin. En concreto, y con el fin de no solaparse con otros estudios, en esta fase se va a centrar en el almacenamiento, uso y archivo de la informacin. Tres conceptos bsicos se deben tener en cuenta en relacin al tratamiento de los datos, sea cual sea el mbito de aplicacin o actuacin: Recurso: Informacin sobre la que se desea actuar. Accin: Tipo de actuacin que se quiere realizar sobre un recurso. Actor: Usuario que desea realizar una accin determinada sobre un recurso en concreto. La combinacin de estos tres conceptos y cmo se gestionan, establecer el mbito de actuacin en relacin al tratamiento de los datos.
22
23
Delimitacin de la figura de responsable y encargado en el Operador de telecomunicaciones contemplada en el Dictamen 1/2010 del Grupo del Artculo 29 sobre los conceptos de responsable del tratamiento y encargado del tratamiento (WP 169): http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_es.pdf . Personas afectadas por el tratamiento de sus datos personales.
29
4.4.3.1 Empresa proveedora Las responsabilidades del proveedor se relacionan segn el tipo de servicio que se contrate, ya que el tipo de servicio nos indica el grado de responsabilidad que le afecta. Por eso, el proveedor es responsable de proporcionar los controles de medidas de seguridad que exige la normativa, en base al servicio contratado. El proveedor de computacin en la nube ser considerado encargado de tratamiento de los datos contenidos en los ficheros de los clientes y, por tanto, deber cumplir con los requisitos del artculo 12 LOPD y artculos 20 a 22 del RDLOPD. Los proveedores de computacin en la nube, como usuarios de las redes de comunicacin y con proveedor propio de ISP, debern verificar el cumplimiento legal y legitimacin de estos ltimos agentes que le permiten prestar el servicio a sus clientes finales. Tal verificacin previa de cumplimiento normativo ser necesaria para que los contratos de encargado de tratamiento con los clientes finales puedan reflejar la informacin referente a los subencargados que permitirn la prestacin de servicio. En las clusulas del contrato se deber resaltar la finalidad de dichos subencargos, la identificacin geogrfica de los agentes operadores y ley aplicable, as como una remisin de las medidas de seguridad aplicables y el compromiso de responsabilidad de cualquier incumplimiento normativo. Cualquier incumplimiento de las estipulaciones del contrato ser asumido directamente por la empresa proveedora como responsable directo ante el propio cliente (responsable de fichero o tratamiento) y ante las autoridades competentes de proteccin de datos. De manera general, la principal consideracin sera que el papel del proveedor debe ser el de proporcionar las herramientas necesarias y suficientes al propietario o responsable de la informacin en funcin del tipo de nube (IaaS, PaaS, SaaS), siguiendo las pautas establecidas por la legislacin actual y las normativas o procedimientos que la organizacin propietaria de la informacin tenga desplegadas. En consecuencia con lo comentado, desde el punto de vista de ciclo de vida del tratamiento de la informacin hay que considerar: Almacenamiento o Control de acceso a la informacin. o Gestin de la documentacin (meta-informacin que lleva asociada la documentacin o informacin). En este punto, es importante remarcar que el tipo de clasificacin que se defina en combinacin con las capacidades de actuacin que un usuario pueda poseer, proporciona un marco de control de acceso y gestin de la documentacin muy avanzada, granular y programable a cualquier escenario, que es uno de los objetivos principales de cualquier tipo de nube. o Cifrado de la informacin. o Trazabilidad y auditora. Uso o Trazabilidad y auditoria. o Lgica de aplicacin. o Control de accin sobre la informacin. Archivo o Cifrado de la informacin en medios de almacenamiento de medio-largo plazo. o Gestin de activos y trazabilidad.
30
4.4.3.2 Empresa cliente Todo cliente, responsable del tratamiento de datos personal, que contrata la prestacin de un servicio en la nube, debe velar que el encargado del tratamiento rena e implante las garantas para el cumplimiento de las obligaciones en virtud de la normativa en materia de proteccin de datos. El propietario de la informacin debe analizar los riesgos sobre el ciclo de vida de la informacin y los activos que lo contienen y gestionan. Por ello, la normativa de proteccin de datos y las diversas normativas de seguridad de la informacin establecen la necesidad de llevar a cabo una auditora interna o externa. Para garantizar la trazabilidad y auditora se recomienda establecer en el contrato una clausula contractual del derecho a auditar, de manera que el proveedor de la nube acepte ser auditado. Sobre todo en este caso, en que el propietario de la informacin tiene responsabilidades de cumplimiento normativo24. Tambin es recomendable desarrollar un proceso para recopilar evidencias del cumplimiento normativo, incluyendo los registros de auditora e informes de la actividad, gestin y procedimientos25. Tambin podra darse el caso de generar contratos de adhesin donde el nivel de seguridad aplicable a la prestacin del servicio en la nube deber ser indicado por parte del responsable del fichero y este ltimo aceptar en bloque las medidas adoptadas por su prestador de servicios de computacin en la nube. En conclusin, se debe prestar atencin a la eleccin de un proveedor de la nube, verificando que proporciona suficientes medidas de seguridad tcnicas y medidas organizativas que rigen el tratamiento a realizar, y garantizar el cumplimiento de dichas medidas. De manera general, podramos decir que el cliente, con el fin de cumplir las obligaciones del responsable de tratamiento har uso de las herramientas y tcnicas que el proveedor le ofrezca. En consecuencia con lo comentado, desde el punto de vista de ciclo de vida del tratamiento de la informacin deberamos considerar: Almacenamiento o Control de acceso a la informacin. o Gestin de la documentacin. o Cifrado de la informacin. o Trazabilidad y auditora. En este punto sera interesante que el proveedor ofreciese la posibilidad de programar diferentes tipos de alertas que avisen al contratante de situaciones de riesgo o prdida de informacin. Uso o Trazabilidad y auditoria. o Lgica de aplicacin. o Control de accin sobre la informacin. Archivo o Cifrado de la informacin en medios de almacenamiento de medio-largo plazo. o Gestin de activos y trazabilidad.
Este aspecto se trata con mayor generalidad en el apartado 7.10 Auditabilidad. Para un anlisis ms detallado de este aspecto se puede consultar el Captulo 8.
24 25
31
4.4.3.3 Usuarios En el caso de los usuarios, debemos asegurar que puedan ejercer sus derechos, al igual que se debe asegurar el cumplimiento de sus derechos fuera de la nube: Almacenamiento o Control de acceso a la informacin. o Trazabilidad. Uso o Trazabilidad. o Control de accin sobre la informacin.
4.5 Medidas de seguridad 4.5.1 Empresa proveedora

Los proveedores de servicios en la nube disponen, por definicin, de una infraestructura distribuida sobre la que debern desarrollar un marco de control a nivel de los datos que permita trazar en todo momento su localizacin y el tratamiento de los mismos. Adicionalmente, el proveedor del servicio en la nube puede subcontratar parte de sus servicios a terceros. En esos casos, el proveedor deber adoptar las medidas necesarias para asegurar que el proveedor subcontratado aplica las medidas necesarias para asegurar la privacidad y confidencialidad de los datos.26 Sin embargo, independientemente del modelo de servicios, las empresas proveedoras de servicios en la nube, al igual que la totalidad de las entidades que llevan a cabo cualquier tipo de actividad en Espaa, estn afectadas directamente por la LOPD as como su desarrollo reglamentario (RLOPD). 4.5.1.1 Documento de seguridad Aquellas empresas que operen en Espaa debern disponer de un Documento de Seguridad que describa las medidas de seguridad aplicadas para proteger los ficheros que contengan datos personales de sus empleados, clientes y/o proveedores, tal como indica el artculo 88 del RLOPD. Para el tratamiento en la nube se tendr especial cuidado en detallar qu tipos de datos se estn o van a tratar y el nivel que deber aplicar la empresa proveedora de servicios en la nube. La empresa proveedora de servicios en la nube deber facilitar las herramientas de auditora que la empresa contratante requiera para cumplir con sus obligaciones. 4.5.1.2 Responsable de Seguridad En el Documento de Seguridad se indicar el o los responsables de seguridad designados por el proveedor de servicios en la nube. 4.5.1.3 Control de acceso e identificacin En esta apartado nos estamos refiriendo al control de acceso a la informacin que ejerce una organizacin ante la peticin de acceso de un usuario. No nos estamos refiriendo a la comunicacin de la informacin entre agentes o aplicaciones, es de suponer que si durante el flujo del proceso de acceso a los datos, se
26
En el Captulo 6 se analiza en detalle la implantacin de Sistemas de Gestin de Seguridad de la Informacin y la interrelacin entre sistemas de clientes y proveedores de servicios en la nube.
32
ha alcanzado el nivel de control de acceso, se han cumplido todas las restricciones aplicables en el nivel de comunicacin y transmisin de la informacin. El proveedor del servicios en nube (en funcin del tipo de servicio) deber proporcionar las herramientas necesarias y suficientes al propietario o responsable de la informacin, siguiendo las pautas establecidas por la legislacin actual y las normativas o procedimientos que la organizacin propietaria de la informacin tenga desplegadas. Para ello, ser necesario disponer de un buen sistema de clasificacin de la informacin sobre el que apoyarse a la hora de aplicar las medidas de seguridad, incluido las de control de acceso e identificacin27. En este punto, es importante remarcar que el tipo de clasificacin que se defina en combinacin con las capacidades de actuacin que un usuario pueda poseer, proporciona un marco de control de acceso y gestin de la informacin muy avanzada, granular y programable a cualquier escenario, que es uno de los objetivos principales de cualquier tipo de nube. Si nos centramos en la LOPD, el nivel de control de acceso trata el consentimiento explcito por parte del afectado (LOPD), es decir, a quin se le permite el acceso y para qu. Estos controles se reflejan en un conjunto de polticas de autorizacin/acceso que sern definidas y gestionadas por parte del proveedor y/o por el propietario de la informacin. 4.5.1.4 Gestin de incidencias De acuerdo con lo estipulado en los Artculos 90 y 100 (nivel bajo y medio) del RLOPD, el proveedor de servicios en la nube deber disponer de un procedimiento de notificacin, gestin y respuesta de las incidencias, entendiendo por incidencia cualquier anomala que afecte o pueda afectar a la seguridad de los datos. Ante cualquier anomala que afecte a los datos carcter personal el proveedor de servicios en la nube deber notificarla inmediatamente al cliente que ha delegado la gestin de los datos en el proveedor. 4.5.1.5 Copias de seguridad y recuperacin Para todo proveedor de servicios de en la nube la disponibilidad de los servicios es vital para su negocio, dada la multiterritorialidad de sus clientes. En este escenario, es fundamental disponer de un sistema de copias de seguridad, as como de un plan de recuperacin de la informacin almacenada. Desde un punto de vista LOPD, es importante tener en mente que el propietario o responsable de la informacin es el encargado de decidir cmo debe ser almacenada la documentacin. El proveedor del servicio en la nube nicamente deber proporcionar las herramientas necesarias para que se pueda gestionar cmo se va a almacenar la documentacin. 4.5.1.6 Auditorias El auditor es la figura garante del cumplimiento de unas buenas prcticas y de la existencia de un nivel de control suficiente por parte del proveedor del servicio de computacin en la nube, as como de posibles
27
La clasificacin de la informacin se trata en detalle en el captulo 6 relativo a los Sistemas de Gestin de Seguridad de la Informacin.
33
terceros a los que se hayan cedido los datos para su tratamiento. Para ello, el auditor, en el caso de que el proveedor de servicios en la nube acepte ser auditado, deber ser un tercero independiente. Uno de los retos fundamentales del auditor ser la obtencin de evidencias de la realizacin de las tareas de control interno, as como la ubicacin fsica de los datos. Por ello, el trabajo del auditor, dada la dispersin intrnseca a la arquitectura de la computacin en la nube tendr que adoptar un enfoque multi-territorial. La cuestin fundamental en este caso es cmo el propietario de la informacin (y el responsable de seguridad) tiene acceso y control de la trazabilidad y auditora de su informacin y de los accesos que se han realizado sobre ella. Este aspecto es vital para el cumplimiento del marco legal en relacin a la proteccin de datos personales y en relacin a determinadas normativas de seguridad de la informacin. Es importante sealar que el proveedor de servicios en la nube deber proporcionar las herramientas necesarias para que el propietario pueda ejercer sus obligaciones, ofreciendo un marco de gestin de la trazabilidad y auditora de los accesos permitidos y los accesos no permitidos, as como un registro de las incidencias ocurridas relativas a los datos de carcter personal. Asimismo cabe destacar la diferencia de planteamiento cuando la informacin est localizada en un nico punto o bien est distribuida por un nmero determinado de nubes. Este aspecto es transparente para el propietario o responsable de la informacin, pero no para el proveedor de servicios en la nube, ya que deber desplegar un sistema de gestin y correlacin de eventos de seguridad (SIEM) o similar en entorno colaborativo segn sea el caso. 4.5.1.7 Telecomunicaciones El proveedor de servicios en la nube deber proporcionar los mecanismos adecuados para proteger la confidencialidad y privacidad de la informacin que circule a travs de sus sistemas e infraestructuras de comunicaciones. Para ellos, deber aplicar medidas criptogrficas o de cifrado que protejan la informacin de accesos no autorizados (por ejemplo, SSL-TLS, IPSec, Kerberos, etc.)
4.5.2 Empresa cliente

El cliente es donde empieza y acaba el servicio. Son sus datos o los de sus clientes los que debe proteger directamente o a travs del proveedor de servicios en la nube. El cliente es el responsable de definir la poltica de seguridad y privacidad que aplicar a sus datos. Podemos agrupar a los clientes en base a: Modelo de Cloud Tamao de su Organizacin
Modelo de Cloud Infrastructure as a Service (IaaS) El cliente es el responsable de la mayor parte de los controles de seguridad, incluyendo control de acceso de las aplicaciones, gestin de identidades de usuarios, etc.
34
Platform as a Service (PaaS) El cliente gestiona y controla las aplicaciones de software y, por lo tanto, es responsable de los controles de aplicacin. Software as a Service (SaaS) El cliente es un mero usuario o receptor del servicio que delega toda la responsabilidad en el proveedor de servicios en la nube. El cliente centrar sus esfuerzos en la supervisin de los Acuerdos de Nivel de Servicio (ANS) y de las medidas de seguridad. Depender de la informacin proporcionada por el proveedor.
Modelo de Organizacin Las personas jurdicas actan como intermediarios entre las personas fsicas (clientes, empleados, proveedores, etc.) y el proveedor de servicios en la nube. Son los custodios de los datos obtenidos de sus propios clientes. Grandes Corporaciones Multinacionales: Se trata de entornos muy complejos con gran cantidad de datos procedentes de distintos pases con diferentes requisitos. Disponen de una estructura de control interna que deber adaptarse a las circunstancias de la computacin en la nube. Su herramienta bsica de gestin ser un Acuerdo de Nivel de Servicio (ANS) que permita regular la relacin. La principal dificultad estar en detectar incumplimientos y hacer que se respete el ANS28. Pequea y Mediana Empresa: Suele tratarse de organizaciones que carecen de un marco de control interno o es muy limitado, por lo que debern confiar en la debida diligencia del proveedor en la prestacin del servicio y el cumplimiento de la legislacin vigente. Sus decisiones de abogar por la computacin en la nube depender de cuestiones econmicas y de la confianza que generen las soluciones basadas en la misma. En este grupo estaran incluidos microempresas, autnomos y profesionales liberales. En este caso, aplicarn los mismos requisitos que al proveedor de servicios en la nube. Sin embargo, en este caso el Documento de Seguridad deber tener en cuenta que la gestin de muchos de los procedimientos de gestin de la informacin corresponder al proveedor. 4.5.2.1 Responsable de seguridad El responsable de seguridad es la figura encargada de definir las medidas de seguridad a implantar para asegurar la privacidad y confidencialidad de los datos, de acuerdo con los requisitos de cada pas. El responsable de seguridad tiene la difcil misin de armonizar los diferentes requisitos de tal modo que den como resultado un marco de control coherente. El responsable de seguridad debe realizar una labor de coordinacin con el proveedor de servicios en la nube e internamente, dentro de su organizacin. Cabe destacar, la necesidad de colaboracin entre los responsables de seguridad del proveedor de servicios en la nube y del cliente. Asimismo, deber supervisar la implantacin de las medidas de seguridad definidas y monitorizar de forma peridica su cumplimiento y la adecuada resolucin de las anomalas que se detecten. La preocupacin del responsable de seguridad ahora es la informacin (los datos), no el contenedor o la infraestructura.
28
Para un anlisis ms detallado de los Acuerdos de Nivel de Servicio, consultar el apartado 7.12
35
Son especialmente sensibles las trasferencias de datos entre pases, donde los datos de un pas A viajan a un pas B con requisitos distintos en materia de privacidad (como veremos en el siguiente apartado). 4.5.2.2 Control de acceso e identificacin La empresa que contrata servicios en la nube deber definir las medidas de control de acceso a la informacin de carcter personal de sus empleados, clientes o proveedores en base a su clasificacin y nivel de seguridad (alto, medio o bajo). Asimismo, deber asegurar la posibilidad de acceso de las personas a sus datos personales para su consulta, modificacin o eliminacin. 4.5.2.3 Gestin de incidencias El responsable de seguridad del cliente deber conocer y validar el procedimiento de notificacin, gestin y resolucin de incidencias del proveedor de servicios en la nube. Asimismo, deber supervisar la adecuada resolucin de las incidencias detectadas. 4.5.2.4 Copias de seguridad y recuperacin El cliente deber conocer y validar el procedimiento de realizacin y recuperacin de copias de seguridad de su proveedor de servicios en la nube. Asimismo, se deber acordar un plan de copias adecuado con el propietario de los datos y con el proveedor. El responsable de seguridad del cliente deber supervisar la adecuada ejecucin de dichos procedimientos de copia y recuperacin de los datos. 4.5.2.5 Auditorias Tal y como se especifica en el RLOPD, el responsable de seguridad ser responsable de que se lleve a cabo una auditoria bienal (excepto en el caso de ficheros de nivel bajo) con objeto de validar el cumplimiento de los requerimientos de dicho reglamento. En caso de que se produzcan cambios significativos sobre los sistemas de informacin o instalaciones, se realizar una auditora de carcter extraordinario, a partir de la cual se reiniciar el cmputo de los dos aos hasta la siguiente auditora. Para aquellos datos cuya gestin se delega en el proveedor de servicios en la nube, se deber obtener la conformidad correspondiente, bien a travs de una auditora directa por parte del cliente o bien que el proveedor proporcione una auditora tipo SAS 70 o ISAE 3402 que incluya en su alcance la validacin del cumplimiento de los requisitos exigidos por la LOPD.
4.6 Transferencias Internacionales 4.6.1 Descripcin general

Las transferencias internacionales de datos de carcter personal tienen una regulacin especfica que se ha de considerar para la computacin en la nube, dado el frecuente carcter transnacional de sta. No se van a considerar en este apartado las cesiones o comunicaciones de datos a otro responsable de fichero, dado que en ese caso se deber cumplir la regulacin correspondiente pero el hecho de estar en un caso de computacin en la nube no supone implicaciones adicionales. Asimismo, no se van a considerar los aspectos relacionados con la seguridad de la transferencia que son considerados en el apartado 4.5.
36
Por tanto, se contemplan los movimientos transfronterizos de datos que no sean considerados cesin o comunicacin de datos. Esta situacin se da en dos casos: El movimiento de datos transfronterizo lo realiza el responsable del tratamiento sin comunicar los datos a terceros. El movimiento de datos transfronterizo implica el acceso de un tercero a los datos, pero dicho acceso es necesario para la prestacin de un servicio al responsable del tratamiento29. Dicho tercero actuara como encargado del tratamiento. En ambos casos, al no tratarse de una comunicacin de datos desde el punto de vista de la legislacin sobre proteccin de datos, no es preciso el permiso del interesado aunque s aplica la regulacin referente a las transferencias internacionales de datos.

Las transferencias internacionales de datos de carcter personal estn reguladas en: Captulo IV Transferencia de datos personales a pases terceros de la Directiva 95/46/CE [Directiva 1995]. Ttulo V Movimiento internacional de datos de la LOPD. Ttulo VI Transferencias Internacionales de datos del RLOPD. Un aspecto clave en la regulacin aplicable es si la transferencia se hace a un pas con un nivel de proteccin adecuado o a un pas que no tiene un nivel adecuado. Los pases entre los que los datos se pueden mover sin ningn requisito adicional a los de los movimientos dentro del propio pas son los 27 estados miembros de la Unin Europea y los tres pases miembros del EEE. Adicionalmente, la Comisin Europea ha reconocido hasta ahora30 que tienen un nivel de proteccin adecuado los siguientes pases: Suiza, Canad, Argentina, Jersey, Isla de Man, los principios sobre privacidad Safe Harbor del Departamento de Comercio de los Estados Unidos y la transferencia del Air Passenger Name Record a la Oficina de Aduanas y proteccin de fronteras de los Estados Unidos. La regulacin para cada uno de estos dos casos es: Pas de la UE, EEE o con un nivel adecuado de proteccin de datos. El movimiento transfronterizo de datos no implica requisitos adicionales a los movimientos dentro del pas, salvo su identificacin en la notificacin del fichero al Registro General de Proteccin de Datos. Asimismo se deber tener en cuenta: o Movimientos realizados por el responsable del tratamiento: Deber cumplir los requisitos de seguridad establecidos en el ttulo VIII del RLOPD.
29 30
Ver artculo 12 de la LOPD. Ver informacin actualizada en http://ec.europa.eu/justice/policies/privacy/thridcountries/index_en.htm
37
o Movimientos con participacin de un encargado del tratamiento: Deber cumplir los requisitos para la prestacin de este tipo de servicios (artculo 12 LOPD y artculos 20 a 22 del RLOPD). o Movimientos dentro de un grupo multinacional. Se puede hacer de dos maneras: Cumplir los requisitos para los encargados del tratamiento (artculo 12 LOPD y artculos 20 a 22 del RLOPD) Establecer unas Binding Corporate Rules (BCR)31 que regulen los movimientos de datos. Pas sin un nivel adecuado de proteccin de datos En este caso, el movimiento transfronterizo de datos tiene los mismos requisitos de legitimidad que el anterior y en todos los casos ser necesario recabar la autorizacin de la autoridad competente, el Director de la Agencia Espaola de Proteccin de Datos, en el caso espaol (art. 70 del RLOPD). Asimismo, se deber incluir la informacin sobre la transferencia en la notificacin al Registro General de Proteccin de Datos. Para que el Director conceda el permiso, deber existir un contrato escrito entre el exportador y el importador en el que consten las necesarias garantas de respeto a la proteccin de la vida privada de los afectados y a sus derechos y libertades fundamentales y se garantice el ejercicio de sus respectivos derechos. A tal efecto, se considerar que establecen las adecuadas garantas los contratos que se celebren de acuerdo con lo previsto en las Decisiones de la Comisin Europea sobre clusulas contractuales32. Los grupos multinacionales pueden optar por el modelo general basado en contratos caso por caso o adoptar y conseguir la aprobacin por la autoridad competente de unas normas o reglas internas (Binding Corporate Rules) en que consten las necesarias garantas de respeto a la proteccin de la vida privada y el derecho fundamental a la proteccin de datos de los afectados y se garantice el cumplimiento de la regulacin sobre la materia.

En general, la responsabilidad sobre el control de legalidad, en todos sus aspectos, respecto de las condiciones para legitimar las transferencias internacionales de datos recae en el cliente de servicios en la nube que ser el responsable desde el punto de vista de la proteccin de datos personales y quien deber tener en cuenta las consideraciones realizadas en el punto anterior.
Ver documentos wp153 y wp154 del Grupo del artculo 29 en http://ec.europa.eu/justice/policies/privacy/ workinggroup/wpdocs/2011_en.htmo 32 - 2010/87/EC: Commission Decision of 5 February 2010 on standard contractual clauses for the transfer of personal data to processors established in third countries under Directive 95/46/EC of the European Parliament and of the Council - 2004/915/EC: Commission Decision of 27 December 2004 amending Decision 2001/497/EC as regards the introduction of an alternative set of standard contractual clauses for the transfer of personal data to third countries - 2001/497/EC: Commission Decision of 15 June 2001 on standard contractual clauses for the transfer of personal data to third countries, under Directive 95/46/EC
31
38
El responsable del fichero se ha de preocupar de conocer la ubicacin territorial de los medios que va a emplear el proveedor de servicios en la nube para prestarle el servicio, en particular ha de conocer si el servicio se va a dar desde pases con un nivel de proteccin adecuado o si, en algn caso, el servicio se puede dar desde pases sin ese nivel. La regulacin desde qu pases se va a poder prestar el servicio ha de estar establecida contractualmente. En funcin del modelo de servicio y del modelo de despliegue la responsabilidad, en particular en lo relativo a la seguridad, se repartir de forma diferente. Al poder estar el encargado del tratamiento fuera del territorio espaol se debern establecer contractualmente las medidas de seguridad a aplicar, dado que no estara sometido al RLOPD. En todos los casos en que haya una transferencia internacional de datos, se debern aplicar los requisitos legales identificados con independencia del modelo de servicio o despliegue. Lo que variar ser la responsabilidad sobre la ejecucin de las actividades y, en consecuencia, el contenido de los contratos o BCR que se establezcan. 4.6.3.1 Aspectos ms relevantes por modelo de servicio Ms all de las medidas de seguridad y cmo se reparten entre el responsable (cliente) y el encargado de tratamiento de datos (proveedor de servicios en la nube), lo cual se recoge en el apartado 4.5 y que depender del modelo de servicios, en el caso de las transferencias internacionales no existen diferencias entre los modelos SPI, ya que la infraestructura subyacente puede cambiar de ubicacin fsica sin control del responsable del tratamiento, haciendo necesario que este aspecto deba regularse especficamente para evitar generar transferencias internacionales de datos no controladas. 4.6.3.2 Aspectos ms relevantes por modelo de despliegue El modelo de despliegue tiene implicaciones en relacin a quin realiza de forma efectiva el tratamiento y el control geogrfico del mismo. Nube privada Si la nube privada es propiedad del responsable del tratamiento, se deben considerar dos aspectos: Ubicacin geogrfica: Si la nube no sale del EEE no tiene ningn requisito especfico, pero si incluye pases con un nivel de proteccin adecuada no pertenecientes al EEE, se han de considerar los requisitos de notificacin. Si incluye terceros pases, se ha de considerar la necesidad de obtener la autorizacin de la autoridad competente. Regulacin de la nube: Si es un grupo multinacional, se deber considerar el uso de BCR o de contratos casos por caso. Si la nube privada es operada por uno o varios encargados del tratamiento se ha de considerar: o Ubicacin geogrfica: dem que el caso anterior. o Regulacin de cloud: Se ha establecer un contrato conforme a la regulacin legal estudiada previamente. Nube Pblica En este caso, los requisitos son los mismos que en el caso de una nube privada operada por uno o varios encargados de tratamiento. No obstante, se ha de prestar especial atencin a:
39
Ubicacin geogrfica: Asegurar contractualmente que se conoce el espacio geogrfico en que se tratan los datos para asegurar el cumplimiento de los requisitos correspondientes. En particular, si se producen transferencias de datos a pases terceros se deber asegurar la conformidad del contenido del contrato. Regulacin: Se ha establecer un contrato conforme a la regulacin legal estudiada previamente. Nube Hbrida Ha de contemplar los requisitos de los dos casos anteriores.
4.6.4.1 Empresa proveedora La transferencia internacional de datos de carcter personal puede ser uno de los mayores inhibidores para la contratacin de servicios en la nube, por ello, los proveedores de este tipo de servicio deberan establecer medidas que atenen est problemtica y faciliten la contratacin de los servicios por parte de los clientes. Entre las medidas recomendables estn: Ofrecer servicios en los que se pueda delimitar en qu pases pueden estar los datos. Por ejemplo, si se garantiza que los datos no van a salir del EEE, se facilita enormemente la contratacin a las empresas europeas. Tener preparado modelos contractuales que cubran la casustica y requisitos de las transferencias internaciones de datos. En el caso de los datos de carcter personal, el uso de los modelos propuestos por la Comisin Europea facilita su adopcin. El tener datos en terceros pases dificulta el control por el responsable del fichero, por lo que es conveniente que el proveedor disponga de mecanismos para reforzar la confianza de ste con medios como auditorias de terceros. 4.6.4.2 Empresa cliente Como en toda relacin con terceros, la empresa ha de evaluar primero qu datos va a poner en la nube y con qu propsito. Respecto a los datos, ha de considerar si incluyen datos de carcter personal, en cuyo caso le aplica la regulacin descrita en este apartado, y si el tener datos en otro pas le puede plantear problemas con la jurisdiccin que aplica en dicho pas. Una vez conocido qu se quiere hacer y los requisitos regulatorios, se ha de buscar un proveedor que pueda satisfacerlos para lo cual hay diversas alternativas: El proveedor garantiza que los datos no salen de la EEE: En este caso la regulacin es la misma que en el caso nacional. Esta garanta deber estar recogida en el contrato. El proveedor garantiza que los datos no salen de pases con un nivel de proteccin adecuada: Se deber conocer qu pases incluye para la declaracin de ficheros, pero por lo dems, la regulacin es igual que en caso nacional.
40
Los datos van a pases sin un nivel de proteccin adecuado: En este caso, el contrato que se establezca ha de cumplir los requisitos que demanda la legislacin. A tal efecto, se considerar que establecen las adecuadas garantas, los contratos que se celebren de acuerdo con lo previsto en las Decisiones de la Comisin Europea comentadas anteriormente. Los grupos multinacionales que gestionen su propia nube tienen dos alternativas: Optar por el modelo general basado en contratos caso por caso. Esta alternativa es ms rpida pero se ha de establecer un nuevo contrato ante un nuevo tratamiento y si se incluye un pas sin un nivel de proteccin adecuado, hay que recabar para el nuevo tratamiento la autorizacin del Director de la Agencia Espaola de Proteccin de Datos (AEPD). Adoptar y conseguir la aprobacin por la autoridad competente de unas normas o reglas internas (Binding Corporate Rules) en que consten las necesarias garantas de respeto a la proteccin de la vida privada y el derecho fundamental a la proteccin de datos de los afectados y se garantice el cumplimiento de la regulacin sobre la materia. Esta alternativa es ms lenta pero tiene la ventaja de que una vez aprobado, se pueden realizar nuevos tratamientos dentro de su marco sin tener que recabar de nuevo una autorizacin. 4.6.4.3 Usuarios Las personas afectadas por el tratamiento de sus datos se enfrentan a dos casos: Sus datos son tratados por una empresa espaola que subcontrata parte de sus servicios en la nube: De acuerdo con la LOPD, la empresa no est obligada a pedir permiso de ese tratamiento por terceros siempre que cumpla los requisitos exigidos para el uso de encargados del tratamiento. En este caso, es poco probable que conozca la existencia de la transferencia internacional y frente a l, toda la responsabilidad es del responsable del fichero. La persona contrata directamente unos servicios en la nube como pueda ser correo electrnico, almacenamiento de datos, capacidad computacional (IaaS) o cualquier otro. En este caso, la persona debera tener unas precauciones similares a una empresa usuaria con la diferencia que su capacidad negociadora va a ser muy reducida. Debera considerar: o Qu datos va a transferir a la nube, qu sensibilidad tienen para l. o Conocer las condiciones contractuales del proveedor en aspectos como confidencialidad, seguridad, resolucin de conflictos, ubicacin, etc. En algunos casos las condiciones pueden resultar abusivas. o Conocer las opciones del servicio. Frecuentemente el servicio se puede configurar de forma voluntaria con unos mayores niveles de proteccin y privacidad. o Ser prudente. Dependiendo de la ubicacin geogrfica del proveedor, puede ser difcil hacer cumplir los derechos legales y se puede tener indefensin.
41
4.7 Ejercicio de derechos 4.7.1 Descripcin general

Dar respuesta a las solicitudes de derechos de acceso, rectificacin, cancelacin u oposicin (en adelante, conjuntamente, derechos ARCO) es una obligacin que corresponde a todo responsable del fichero o tratamiento. El responsable del fichero o tratamiento de datos personales debe contestar en forma y plazo a todas las solicitudes de esta tipologa que se interpongan o ejerciten ante l por parte de cualquier interesado (titular de los datos o persona que acte en su representacin o que acredite obrar por determinadas circunstancias y razones que legitimen dicha actuacin).

Los apartados legislativos que habrn de tenerse en cuenta a la hora de estudiar la respuesta a un derecho ARCO a datos personales en la nube son los referentes a: - La Seccin IV denominada informacin del interesado (Artculos 10 y 11), la Seccin V referida al Derecho de acceso del interesado a los datos (Artculo 12) y la Seccin VI denominada Excepciones y limitaciones (Artculo 13), Seccin VII relativa al Derecho de oposicin del interesado (Artculos 14 y 15) de la Directiva 95/46/CE [Directiva 1995]. - El Ttulo III relativo a Derechos de las personas, Artculos 13 al 19 de la LOPD. - El Ttulo I relativo a las Disposiciones Generales (Artculos 2 y 4) y el Ttulo III relativo a los Derechos de acceso, rectificacin, cancelacin y oposicin del RLOPD. Teniendo en cuenta que la Directiva de Proteccin de Datos establece el derecho de los afectados y, por contra, la obligacin de los responsables de ficheros con carcter genrico y las condiciones especficas para el ejercicio de los derechos se introducen directamente en la legislacin de cada Estado miembro, a continuacin se analizarn y tratarn directamente los preceptos establecidos en la legislacin espaola.
4.7.3 Aspectos relevantes por modelo de servicio de la nube

Antes de analizar las particularidades de cada modelo de servicio en la nube, hay que tratar aquellos aspectos que son comunes a todos los modelos. En particular, ha de afirmarse que la responsabilidad sobre el control de la legalidad, en todos sus aspectos, de cara a garantizar el ejercicio de los derechos de las personas recae en el cliente de servicios en la nube o responsable del fichero que ser el responsable desde el punto de vista de la regulacin de proteccin de datos personales y ser quien deber tener en cuenta las consideraciones realizadas en los apartados anteriores. En base a lo anterior, el responsable del fichero o tratamiento deber regular, en su relacin con el proveedor de servicios en la nube o encargado del tratamiento, la posibilidad de que los afectados ejerciten sus derechos ante dicho encargado, el cual deber dar traslado de la solicitud al responsable, salvo en los casos en que contractualmente se haya determinado que sea atendido por el encargado. Asimismo, conviene plantearse la necesidad de que dicho proveedor de servicios comunique a su cliente (responsable del fichero) el ejercicio de un derecho en un plazo razonable de tiempo, recomendando que sea un plazo de tiempo cerrado, teniendo en cuenta la brevedad de los plazos de contestacin al solicitante impuestos en la normativa vigente.
42
En este mismo sentido, cabe sealar que corresponder al responsable del fichero o tratamiento la prueba de cumplimiento del deber de respuesta al afectado que ejercita un derecho, por lo que debern arbitrase los mecanismos necesarios para conservar la acreditacin del cumplimiento mencionado. En cualquier caso, es el cliente quien deber, por s mismo o dando las instrucciones precisas al proveedor de servicios en la nube, asegurarse de que el tratamiento de los datos en el servicio prestado permite la localizacin y acceso a los datos personales para dar respuesta al ejercicio de cualquier derecho por parte del afectado y quien tendr que plasmar en el contrato de prestacin de servicios y en el acuerdo del nivel de servicio, el clausulado y las condiciones precisas bajo las cuales el proveedor de servicios en la nube deber posibilitar al responsable el cumplimiento normativo. En este ltimo sentido, el proveedor de servicios en la nube deber facilitar y/o ejecutar las acciones necesarias respecto del acceso a los datos personales de una determinada persona, su rectificacin y/o cancelacin o la marcacin y gestin de la oposicin a determinados tratamientos. Por despliegue IaaS: En este modelo de despliegue, el responsable del fichero no gestiona ni controla la infraestructura de nube subyacente, pero tiene control sobre los sistemas operativos, almacenamiento, aplicaciones desplegadas y la posibilidad de tener un control limitado de componentes de red seleccionados. Por ello, el responsable del fichero o del tratamiento de datos (cliente) no perder la capacidad de disposicin sobre los datos personales incluidos en ficheros de su titularidad y, en consecuencia, lo nico que deber asegurar con el proveedor de servicios en la nube ser poder localizar los datos personales sobre los que se ejercite algn derecho para, en su caso, tomar las acciones necesarias de cara a facilitar el acceso al solicitante, rectificacin de sus datos o la cancelacin de los mismos si as procede. Por despliegue PaaS: En este tipo de despliegue de servicios en la nube, se utilizan las herramientas del proveedor para la programacin de aplicaciones y servicios, por lo que, se tendr que considerar que las plataformas contratadas debern permitir la tutela efectiva de los derechos de los afectados. Por tanto, quiz en este modelo de computacin en la nube s que sea necesario que el proveedor asuma obligaciones en cuanto a facilitar o permitir al responsable las acciones necesarias encaminadas a facilitar los derechos de los afectados. Por despliegue SaaS: En este modelo, el proveedor de servicios en la nube tiene control sobre los datos personales de los que el cliente es responsable. El cliente se limita a externalizar los servicios en el proveedor que ejecutar el servicio en la nube. Por lo tanto, en este modelo, el responsable del fichero o tratamiento (el cliente) deber asegurar contractualmente34 que, en caso de que se ejercite un derecho ante el cliente, el proveedor asuma la obligacin como mediador necesario de comunicarle la informacin de la que dispone en relacin al afectado o solicitante en el plazo de tiempo acordado que permita al cliente (responsable del fichero o tratamiento) el cumplimiento de su obligacin y la contestacin al peticionario, as como, la ejecucin de cuantas acciones sean necesarias para dar un cumplimiento efectivo del derecho solicitado, esto es, facilitar el acceso
34
Los aspectos de contratacin se pueden consultar en el Captulo 7.
43
a los datos, su rectificacin, la oposicin al tratamiento con determinados fines o la cancelacin de los mismos si el afectado as lo desea.
4.7.4 Aspectos relevantes por modelo de despliegue de la nube

Por lo que respecta a las condiciones generales para el ejercicio de los derechos de las personas, no parece haber ninguna diferencia en la aplicacin de la normativa en funcin del tipo de despliegue en la nube, por cuanto que la satisfaccin de los derechos de las personas son decisiones operativas, organizativas y/o jurdicas que solo dependen de la voluntad y decisin del responsable y no de los medios tcnicos a travs de los cuales se materializan. En lo que s puede influir el tipo de despliegue es en la relacin entre el responsable y el encargado de tratamiento que lleve a cabo la gestin integral del servicio, ya que, en el caso de que la Organizacin recurra a un encargado de tratamiento (recurso opcional en el caso de nube privada y prcticamente inevitable, en todo o en parte, en el resto de despliegues), deber hacer constar en el contrato que se firme para regular la prestacin del servicio, las medidas y acciones necesarias que habrn de adoptarse, en particular, para el ejercicio de los derechos o, en su caso, contemplar las clusulas por las que el encargado asuma la satisfaccin ntegra de los derechos ARCO, siempre por cuenta del responsable que es el garante ltimo de su cumplimiento.
4.7.5 Posibles riesgos detectados

a) Posibilidad de que el responsable del fichero o tratamiento reciba y procese una contestacin a una solicitud de derecho de rectificacin o cancelacin por parte de un interesado sin comunicar dicho ejercicio al proveedor de servicios en la nube (en un modelo de despliegue SaaS) y, consecuentemente, se produzca una incoherencia en las bases de datos que este ltimo gestione. b) Dificultad de ejecutar de manera eficiente un derecho de cancelacin de imagen ejercitado por un usuario en una red social cuando las mismas se replican en diferentes servidores de sus proveedores de la nube (stos no suelen cancelar las imgenes hasta que no realizan supresiones automticas de contenidos). Por tanto, mientras las imgenes no se cancelan por los proveedores de servicios en la nube, se puede seguir accediendo a la imagen a travs del link cuando el mismo se introduzca en la barra del navegador, aunque no en un buscador. c) Recopilacin de datos por parte del proveedor de servicios en la nube respecto de los usuarios del servicio a travs de registros que faciliten informacin comercial relativa a los usuarios. Este hecho podra constituir una vulneracin de derechos en cuanto a recogida de datos adicionales a los informados en relacin con el tratamiento de datos y/o posibilidad de uso no consentido (envos comerciales o publicitarios, comercializacin de las bases de datos a empresas de marketing on line, etc.)
4.7.6.1 Empresa proveedora Dado que la empresa proveedora de servicios en la nube se constituir como encargada del tratamiento de los ficheros con datos personales que trate para llevar a cabo la prestacin de servicios de su cliente (responsable del fichero), habr de considerar las obligaciones establecidas en la normativa de proteccin de datos en relacin con esta figura. Esto es, se deber regularizar la prestacin de los servicios en la nube a travs de
44
un contrato que recoja los aspectos del Art. 12 de la LOPD relativo al acceso a datos por cuenta de terceros, as como, los relativos a los Arts. 20, 21 y 22 del RLOPD en caso de subcontratacin de servicios. Asimismo, en dicho contrato debern quedar debidamente delimitadas las funciones y responsabilidades de cada figura en lo relativo a la recepcin, gestin y resolucin de un ejercicio de derechos ARCO ante cualquiera de las partes. Quiz por las particularidades de la gestin de la computacin en la nube o prestaciones aadidas a lo que es el objeto contractual, tales como, seguridad y reserva de la privacidad de los datos y colaboracin con el responsable del fichero para la efectiva tutela de los derechos de los afectados, sea conveniente plantearse el establecimiento de tarifas especiales como un aadido a la prestacin de servicios objeto de contratacin. 4.7.6.2 Empresa cliente Dado que la empresa que contrata soluciones de computacin en la nube ser la responsable de los ficheros con datos personales a los que acceder o tratar su proveedor de servicios en la nube (encargado del tratamiento), deber regularizar la prestacin de servicios que suscriba con este proveedor a travs de un contrato de encargo de tratamiento, en el cual, queden debidamente delimitadas las funciones y responsabilidades de cada figura. En este sentido, se recomienda, con carcter adicional a la regularizacin del encargo del tratamiento y los trminos que regularn las posibles subcontrataciones de servicios, delimitar en las clusulas contractuales, en particular, los siguientes aspectos relativos a la gestin de derechos ARCO: A quien corresponder atender las solicitudes de derechos ARCO que se ejerciten por parte de los interesados. Procedimiento o vas y plazos para la comunicacin entre las partes de la recepcin de una solicitud de esta tipologa. Viabilidad de la localizacin y acceso a los datos personales tratados. Obligaciones del proveedor de servicios relativas a facilitar los datos al responsable, rectificarlos y/o cancelarlos de conformidad con las indicaciones del responsable como mediador necesario para el cumplimiento de las obligaciones legales y la consecucin de una tutela efectiva de los derechos de las personales tratados en ficheros de su titularidad. Obligaciones del proveedor en relacin con la finalizacin del servicio, esto es, devolucin y/o destruccin de los datos, as como, de las copias o rplicas de los mismos se hubieran realizado. Adicionalmente, para los casos como el indicado relativo a la cancelacin de imgenes, se habr de considerar por parte del responsable de fichero esta circunstancia, as como cualquier otra particularidad que pueda suponer un obstculo para la satisfaccin de los derechos ejercidos por los posibles afectados. Asimismo, para el supuesto de que se lleve a cabo la recogida de datos adicionales relativos a informacin comercial de los usuarios, as como, un posible uso no legtimo de los mismos, se recomienda incluir en
45
los trminos del contrato la posibilidad de revisar el cumplimiento de las obligaciones relacionadas con la seguridad y privacidad a travs de una auditora del servicio prestado. En caso de que el proveedor de servicios en la nube se oponga a la realizacin de una auditora, por lo menos, intentar que facilite los resultados de una auditora interna o externa en relacin al cumplimiento de estos extremos. En definitiva, ser necesario que adems de regular el acceso a datos personales por parte del proveedor como encargado del tratamiento, establecer en el acuerdo de nivel de servicios (ANSs), las obligaciones o buenas prcticas precisas para poder atender, gestionar y resolver los ejercicios de derechos ARCO de manera eficaz y conforme a derecho.
4.8 Autoridades de control 4.8.1 Descripcin general

La Directiva 95/46/CE considera35 que es esencial la existencia de una autoridad independiente de control en el contexto de la proteccin de datos de carcter personal, de ah que el artculo 28 de la mencionada Directiva obligue a los Estados miembros de la Unin Europea a crear, una o ms autoridades pblicas encargadas de vigilar la aplicacin, en su territorio, de las disposiciones nacionales adoptadas en aplicacin de la Directiva; debe tenerse en cuenta que en algn caso esas autoridades de control tambin debern aplicar las legislaciones de otros estados del EEE36. En el caso del Estado Espaol esa disposicin nacional es la LOPD, que prev la existencia de una autoridad de control estatal, la Agencia Espaola de Proteccin de Datos, y da la posibilidad de que las comunidades autnomas creen, asimismo, otras autoridades de control. La actividad de vigilancia del cumplimiento de las legislaciones nacionales en materia de proteccin de datos de carcter personal, que desarrollan las autoridades de control, se concreta en un conjunto de funciones que deben ser ejercidas con total independencia de poderes pblicos o privados, y que pueden sintetizarse en las siguientes actividades: Atender las peticiones y reclamaciones realizadas por las personas afectadas. Resolver las reclamaciones de tutela de los derechos ARCO. Ejercer la potestad de inspeccin y sancionadora, as como, desarrollar actuaciones de control preventivo. Requerir a responsables y encargados de tratamiento para que adopten medidas de adecuacin a lo previsto en la normativa, lo que incluye la posibilidad de ordenar el cese del tratamiento o incluso exigir la eliminacin de los datos objeto de tratamiento.
35
36
Considerando 62 de la Directiva 95/46/CE: Considerando que la creacin de una autoridad de control que ejerza sus funciones con plena independencia en cada uno de los Estados miembros constituye un elemento esencial de la proteccin de las personas en lo que respecta al tratamiento de datos personales Se recomienda la lectura del apartado legislacin aplicable del presente estudio, ya que resulta necesario y complementario al presente apartado.
46
Responder a consultas, dictaminar, recomendar y dictar instrucciones que faciliten la adecuacin de los tratamientos a lo previsto en la legislacin. Otorgar las autorizaciones que prevea la normativa. Y velar por la publicidad de los tratamientos. En relacin a la computacin en la nube, el anlisis del papel de las autoridades de control tiene inters en relacin a dos cuestiones: a) La determinacin de la jurisdiccin o competencia para vigilar la adecuacin de los tratamientos a la legislacin aplicable, es decir, qu autoridad de control va a intervenir, por ejemplo, en el caso de una denuncia o de una tutela de derechos. b) La ejecucin efectiva de las resoluciones y decisiones adoptadas en relacin a los tratamientos de los que son competentes o tiene jurisdiccin una autoridad de control, es decir, una vez tomada la decisin en relacin a la reclamacin recibida, cmo se va a dar cumplimiento a lo que prevea la resolucin, por ejemplo, el cobro de una multa o la inmovilizacin de un fichero o tratamiento. Tal y como prev el ya mencionado artculo 28 de la Directiva Europea de proteccin de datos personales, las autoridades de control se encargan de vigilar en su territorio las disposiciones nacionales adoptadas por sus respectivos estados en aplicacin de la Directiva. Aparece aqu un primer elemento de compleja resolucin en un ambiente de computacin en la nube al determinar que el mbito de actuacin de las autoridades de control viene definido por un criterio territorial, todo y que, ciertamente la Directiva ya prev una cierta extraterritorialidad, en el sentido de que se d la circunstancia de que sea necesario que una autoridad de control aplique ms de una legislacin nacional para, por ejemplo, resolver una reclamacin37. Uno de los aspectos esenciales de la computacin en la nube es, precisamente, el uso dinmico de los recursos de tratamiento, ya sean de almacenamiento, de procesamiento, de comunicaciones, etc., de manera que en funcin de las necesidades del usuario el proveedor de los servicios en la nube administrar los recursos disponibles all donde estn disponibles, superando las tradicionales barreras de espacio y tiempo, y en consecuencia donde el criterio de territorialidad no es relevante, dado que usualmente no estar predeterminado el lugar de procesamiento, aunque si que deber ser determinable en algn momento. La cuestin de cual es el mbito competencial de las autoridades de control va unida, en general, a la determinacin de la legislacin aplicable (con la excepcin ya descrita anteriormente), aspecto ya tratado en el apartado 4.3 de este informe, lo que va a incluir tambin las cuestiones relacionadas con las autorizaciones previstas en la normativa, especialmente las de transferencias internacionales, tratadas en el apartado 4.6 de este informe.
37
El Dictamen 8/2010 sobre Ley Aplicable del Grupo de Trabajo del Artculo 29 introduce la cuestin de que no siempre tienen porque coincidir la legislacin aplicable con la competencia de los rganos de supervisin (autoridades de control).
47
Otra cuestin bien diferente tiene que ver con el hecho de cmo se van a resolver, una vez determinada la competencia de una concreta autoridad de control, en un caso especfico, las siguientes cuestiones: a) En primer lugar, qu mecanismos operativos va a seguir la autoridad de control para investigar y obtener datos e informaciones que le permitan determinar si se est produciendo una vulneracin del derecho a la proteccin de datos de carcter personal, lo que la Directiva identifica como poderes de investigacin. b) Y en segundo lugar, y una vez tomada una decisin por parte de esa autoridad de control, cmo va a ser ejecutada o atendida esa resolucin, que tal vez vaya dirigida a un prestador de servicios que tiene su establecimiento y/o medios de procesamiento en otro pas, ya sea de fuera o de dentro de la Unin Europea, lo que la Directiva identifica como poderes efectivos de intervencin38. Las dos situaciones revelan dificultades para dar adecuada respuesta a la lesin al derecho fundamental a la proteccin de datos de carcter personal, por tanto de inters para las personas afectadas, pero tambin son relevantes para los responsables y encargados de tratamientos en la nube, que puedan llegar a tener que someterse a ms de una autoridad de control, o a autoridades de control de otros estados, segn los criterios de legislacin aplicable que vayan a ser tenidos en cuenta. La Directiva prev que las autoridades de control atiendan las solicitudes que le lleguen de cualquier persona, sin tener en cuenta cuestiones como la nacionalidad o la ciudadana, y asimismo las autoridades de control pueden ser instadas a ejercer sus poderes por una autoridad de control de otro Estado miembro. En este punto, la cooperacin y coordinacin de las diferentes autoridades de control involucradas es clave, de manera que el rol y los lmites de actuacin de cada una de ellas sean claros, en este sentido el ya mencionado dictamen 8/2010 del Grupo del Artculo 29, pone de relieve la dificultad de la cuestin y la pospone para un estudio ms profundo, en un documento especfico en el que tratar esa cooperacin y coordinacin entre autoridades de control cuando concurre ms de una, en un mismo asunto. Destacar, por ltimo, que el hecho de que, segn la Directiva, deban proveerse mecanismos de revisin judicial de las resoluciones de las autoridades de control, hace muy relevante quien sea la autoridad de control competente, ya que eso determinar los tribunales a los cuales recurrir sus decisiones.

Lo cierto es que ni los diferentes modelos de servicio, ni las diferentes posibilidades de despliegue van a ser relevantes en el anlisis de esta cuestin. Una vez determinada la competencia de una autoridad de control, que el servicio en la nube sea de SaaS, PaaS o IaaS, no va a aadir aspectos diferenciales a la intervencin de la autoridad. En la prctica, la actual arquitectura competencial llevar a que la decisin de la persona afectada vaya a ser determinante de cual va a ser la autoridad de control que vaya a actuar de manera principal.
38
El artculo 28.3 de la Directiva describe los poderes de que debe disponer una autoridad de control creada conforme a la Directiva.
48
Efectivamente, aquella autoridad a la cual se dirija la persona afectada en caso de que considere su derecho lesionado, o en general, para solicitar la intervencin de una autoridad de control que proteja su derecho a la proteccin de datos, va a ser la competente para resolver, al menos en un primer momento, ya que va a tener posibilidad de actuar con independencia de la legislacin aplicable.

Con carcter general se deber tener en cuenta lo previsto en el ya mencionado artculo 28 de la Directiva y las cuestiones relacionadas con el mbito de aplicacin de la LOPD39. En cuanto a las funciones y competencias de la Agencia Espaola de Proteccin de Datos se estar a lo previsto en el ttulo VI de la LOPD, y en cuanto a los procedimientos tramitados por esta, a lo previsto en el ttulo IX del RLOPD. Los procedimientos, relevantes para computacin en la nube, tramitados por la Agencia Espaola de Proteccin de Datos son: a) Tutela de derechos ARCO (artculos 117 a 119 del RLOPD). b) Ejercicio de la potestad sancionadora (artculos 120 a 129 del RLOPD). c) Inscripcin o cancelacin de ficheros (artculos 130 a 136 del RLOPD). d) Transferencias internacionales de datos (artculos 137 a 144 del RLOPD). e) Exencin del derecho de informacin al interesado (artculos 153 a 156 del RLOPD). f) Autorizacin de conservacin de datos para fines histricos, estadsticos o cientficos (artculos 157 y 158 del RLOPD). En el estado espaol existen tres autoridades de control autonmicas, que con mnimas diferencias, desarrollan funciones equivalentes; por orden de creacin: a) La Agencia de Proteccin de Datos de la Comunidad de Madrid, regulada por la Ley 8/2001, de 13 de julio, de Proteccin de Datos de Carcter Personal en la Comunidad de Madrid. b) La Autoridad Catalana de Proteccin de Datos, creada como agencia de proteccin de datos por la Ley 5/2002, de 19 de abril, que ha sido derogada por la Ley 32/2010, de 1 de octubre, que crea y regula la Autoridad Catalana de Proteccin de Datos. c) La Agencia Vasca de Proteccin de Datos, regulada por la Ley 2/2004, de 25 de febrero, de Ficheros de Datos de Carcter Personal de Titularidad Pblica y de Creacin de la Agencia Vasca de Proteccin de Datos.
39
Como ya se ha dicho tratadas en un apartado especfico de este estudio: Legislacin aplicable.
49
Las recomendaciones incluidas en este apartado se centran en situaciones de servicios en la nube donde se d la pluri-territorialidad, a la vez que existe un tercero que trata datos por cuenta ajena (encargado de tratamiento40), ya que en el caso de que el proveedor de servicios en la nube y la empresa cliente estn establecidas en el mismo territorio, el hecho de que se utilicen servicios basados en el paradigma de computacin en la nube no aporta ningn diferencial, en relacin a la aplicacin de la legislacin en materia de proteccin de datos de carcter personal respecto de situaciones donde no se utilicen. Ya se ha hecho referencia al uso de criterios territoriales para la determinacin de la legislacin aplicable, y por tanto para la concrecin de la autoridad de control competente, pero debe tenerse en cuenta que la futura revisin de la Directiva Europea de proteccin de datos con toda seguridad tendr en cuenta paradigmas como el de computacin en la nube, haciendo hincapi en la cuestin de las normas aplicables y de la competencia de las autoridades de control, ya que el criterio territorial en relacin a los medios utilizados para la prestacin de los servicios no es suficiente para dar respuesta a todas las casusticas, y por tanto van a tener que entrar en juego otros criterios para determinar la competencia de las autoridades de control, como por ejemplo, el de la audiencia a la que van dirigidos los servicios, de manera que podr darse el caso de que sin existir ningn vinculo territorial, al menos en cuanto al procesamiento principal, una autoridad de control vaya a poder ser competente para resolver. Las recomendaciones incluidas a continuacin se basan en la regulacin vigente en el estado espaol en el momento de la publicacin de este informe. 4.8.4.1 Empresa proveedora Deber tener en cuenta que, en todo caso, deber cumplir con lo previsto en el ttulo VIII del RLOPD, es decir, por el mero hecho de ser un encargado de tratamiento ubicado en Espaa, aunque los datos tratados sean de un responsable no establecido en territorio espaol, le sern de aplicacin las medidas de seguridad prevista en el reglamento que desarrolla la LOPD (segundo prrafo del artculo 3.1.a del RLOPD), por tanto, la autoridad de control que sea competente en aplicacin de los criterios de reparto competencial previstos a la LOPD y normativas autonmicas, se podr dirigir a la empresa proveedora, en el ejercicio de los poderes y funciones que les atribuye el ordenamiento jurdico, y esta deber darle respuesta en relacin a la seguridad de los datos, con independencia de la legislacin aplicable con carcter general a los datos tratados. Obviamente, si adems, la legislacin aplicable al tratamiento es la espaola, tambin estarn sujetos al resto de obligaciones que puedan derivarse, y por tanto deber atender los requerimientos de informacin u otras intervenciones ordenadas por la autoridad de control del estado espaol que sea competente. Tambin deber tener en cuenta que, en aplicacin de la Directiva, pueden recibir solicitudes de informacin y requerimientos de autoridades de control de otros Estados miembros, o recibirlos de las autoridades del estado espaol a solicitud, y con destino, a autoridades de control de los Estados miembros. 4.8.4.2 Empresa cliente Deber comunicar al encargado de tratamiento (empresa proveedora de servicios en la nube) qu legislacin de proteccin de datos es aplicable a los tratamientos que realizar por cuenta suya, y a ser posible comunicar tambin que autoridades de control son competentes para vigilar el cumplimiento de la normativa aplicable a los tratamientos objeto de encargo.
40
Remitimos al lector a la parte de este estudio que aborda en detalle la cuestin de los encargados de tratamiento, apartado 4.4.
50
Deber tener conocimiento de qu obligaciones tiene la empresa proveedora en relacin a la legislacin de proteccin de datos aplicable en el territorio, o territorios, donde se procese, o se tenga previsto procesar, la informacin que, en razn del encargo de tratamiento que le ha contratado, ha sido comunicada a la empresa proveedora de servicios en la nube. Deber comunicar a los usuarios, al menos de manera colectiva, mediante polticas de privacidad globales u otros mecanismos equivalentes, cual es la autoridad de control a la que deben dirigirse, en caso de que consideren vulnerado su derecho a la proteccin de datos de carcter personal en el contexto de los tratamientos de los que es responsable. 4.8.4.3 Usuarios Aunque, en principio, se ha excluido de este estudio el caso en el que los usuarios finales contratan directamente con los proveedores de servicios en la nube, conviene poner de relevancia la conveniencia de que los usuarios finales, y por tanto personas afectadas por el tratamiento de sus datos personales, antes de contratar, se informen de cual es la autoridad, o autoridades, de control competentes para resolver posibles incidentes con su derecho a la proteccin de datos de carcter personal, de manera que puedan valorar si sus reclamaciones, especialmente, podrn ser convenientemente investigadas y las resoluciones de la autoridad de control podrn ser eficazmente ejecutadas.
4.9 Comunicacin de datos a otras autoridades 4.9.1 Descripcin general

En este apartado se van a analizar aquellas situaciones en las que las autoridades competentes soliciten informacin de carcter personal gestionada por un proveedor de servicios en la nube. Se contemplan en este estudio todas aquellas comunicaciones que impone una ley aplicable a un servicio en la nube. A modo de ejemplo, en el caso espaol, podemos mencionar: Ley Ley Ley Ley General Tributaria. de Enjuiciamiento Civil. de Enjuiciamiento Criminal. General de la Seguridad Social.
Principalmente, nos centraremos en aquellas situaciones en las que el proveedor de servicios en la nube no se encuentra en Espaa y se solicita el acceso a los datos por parte de polica u organismos anlogos a los sealados en los puntos anteriores en el pas donde resida dicho proveedor.

Como se indica en el punto 4.3 del presente estudio (Legislacin Aplicable): el concepto clave para la determinacin de la legislacin aplicable es el de la ubicacin del establecimiento del responsable del tratamiento en conjuncin con las actividades de tratamiento que se llevan a cabo. Si el proveedor de servicios en la nube se encuentra en Espaa, la regulacin que aplica es la siguiente: Artculo 23 de la LOPD, Excepciones a los derechos de acceso, rectificacin y cancelacin. Artculo 24 de la LOPD, Otras excepciones a los derechos de los afectados.
51
Si el proveedor opera en uno de los 27 estados miembros de la Unin Europea y los tres pases miembros del espacio EEE, las condiciones de comunicacin de datos a otras autoridades estn reguladas en el artculo 13 de la Directiva 95/46/CE Excepciones y Limitaciones [Directiva, 1995] en el que se establece que los Estados miembros podrn limitar la aplicacin de determinadas disposiciones de la Directiva en materia de seguridad nacional y pblica o el enjuiciamiento y la prevencin del crimen. As, en funcin de la legislacin local en un Estado miembro, en determinadas circunstancias algunos datos que manejen los proveedores pueden no estar sujetos a todas las normas establecidas en la Directiva. Los ejemplos para aplicar tal limitacin se aplican cuando constituya una medida necesaria para la salvaguardia de la seguridad del Estado, la defensa, la seguridad pblica, la prevencin, la investigacin, la deteccin y la represin de infracciones penales o de las infracciones de la deontologa en las profesiones reglamentadas, un inters econmico y financiero importante de un Estado miembro o de la Unin Europea, incluidos los asuntos monetarios, presupuestarios y fiscales, etc. Dependiendo del Estado miembro concreto donde operase el proveedor de servicios en la nube, aplicara la legislacin que el Estado miembro haya aprobado al transponer la Directiva. Si el proveedor de servicios en la nube opera en un pas distinto a los referidos anteriormente, habr que considerar la normativa aplicable en dicho pas a tal efecto. En el presente estudio no se hace referencia a otra legislacin que no sean las referidas Directiva 95/46/CE, LOPD y RLOPD.

En general, la responsabilidad sobre el control de legalidad, en todos sus aspectos, respecto de las condiciones para que una autoridad pueda solicitar ciertos datos al proveedor de servicios en la nube recae en el responsable del fichero. ste se ha de preocupar de conocer la ubicacin territorial de los medios que va a emplear dicho proveedor para prestarle el servicio, en particular, ha de conocer si el servicio se va a dar desde Espaa, desde pases del espacio EEE o fuera de los dos casos anteriores. En funcin del modelo de servicio y del modelo de despliegue, la responsabilidad, en particular en lo relativo a la seguridad, se repartir de forma diferente. Al poder estar el encargado del tratamiento fuera del territorio espaol se debern establecer contractualmente las condiciones a aplicar dado que no estara sometido al RLOPD. 4.9.3.1 Aspectos ms relevantes por modelo de servicio En este caso, no existen diferencias por el tipo de servicio utilizado (SaaS, PaaS o IaaS). Dado que los elementos que dan servicio pueden cambiar de ubicacin fsica sin control del responsable del tratamiento, este aspecto deber regularse especficamente para que, en este caso el cliente (responsable del fichero), tenga informacin de qu autoridad puede solicitar sus datos en caso de estar amparado por la normativa vigente en el pas donde opera dicho proveedor de computacin en la nube. 4.9.3.2 Aspectos ms relevantes por modelo de despliegue Si bien el modelo de despliegue tiene implicaciones en relacin a quin realiza de forma efectiva el tratamiento y el control geogrfico del mismo (privado, pblico o hbrido), en el caso que nos ocupa, no tiene especial relevancia.
52
Es importante destacar que si no se informa adecuadamente en el contrato, un proveedor de servicios en la nube puede conocer muy poco acerca de la informacin que el cliente est confiando en l. Esta situacin puede provocar que, ante un requerimiento de informacin personal por parte de autoridades competentes, el proveedor no sea consciente de la informacin que gestiona y puede que no sea capaz de generar el aviso adecuado al cliente para que ste sea consciente de la situacin. Como se ha indicado en otras situaciones en este estudio (transferencia de datos, por ejemplo) es muy importante reflejar en el contrato que se van a confiar datos personales del cliente al proveedor de servicios en la nube. 4.9.4.1 Empresa proveedora Como se ha indicado en los puntos anteriores, la ubicacin geogrfica del responsable del tratamiento es clave a la hora de saber qu autoridad puede solicitar informacin de carcter personal. Por lo tanto, las medidas recomendables para los proveedores de servicios son: Plasmar de forma clara en los contratos41 en qu pases pueden estar los datos. Incluir en los contratos referencias a la normativa aplicable en los casos en que el proveedor se encuentre ubicado en Espaa (LOPD y RLOPD), en pases miembros del espacio EEE (Directiva Europea 95/46/CE o normativa local transpuesta) o en terceros pases. 4.9.4.2 Empresa cliente Como en toda relacin con terceros, la empresa ha de evaluar primero qu datos va a llevar a la nube y con qu propsito. Respecto a los datos, ha de considerar si incluyen datos de carcter personal, en cuyo caso aplica la regulacin descrita en este apartado, y si el tener datos en otro pas le puede plantear problemas con la jurisdiccin que aplica en dicho pas. Una vez conocido qu se quiere hacer y los requisitos regulatorios se ha de buscar un proveedor que pueda satisfacerlos para lo cual hay diversas alternativas: El proveedor garantiza que los datos se encuentran en Espaa o en pases miembros de la EEE: La regulacin es la misma que en el caso nacional. Esta garanta deber estar recogida en el contrato. Los datos van a estar en terceros pases: El contrato que se establezca ha de cumplir los requisitos que demanda la legislacin. 4.9.4.3 Usuarios En caso de que los datos personales del usuario sean reclamados por una autoridad competente al proveedor de servicios en la nube, se debera pedir a ste que informase al usuario de que sus datos han sido requeridos e informados a la correspondiente autoridad. Ya que esta situacin se puede producir independientemente del pas en que opere el proveedor, y ste ha de cumplir el requerimiento de la autoridad correspondiente, el usuario debera considerar:
41
Los aspectos relacionados con los contratos se analizan detalladamente en el Captulo 7.
53
Conocer, a travs del contrato, la ubicacin geogrfica del proveedor. Esta informacin le ayudar a saber de antemano qu autoridades pueden reclamar los datos gestionados en la nube. Qu datos va a transferir a la nube, qu sensibilidad tienen para l.
4.10 Conclusiones
En este captulo, se analizan los principales aspectos relativos al cumplimiento con lo establecido en la Directiva 95/46/CE, LOPD y RLOPD y que conciernen a empresas proveedoras de soluciones de computacin en la nube, a empresas que contratan dichas soluciones y en algunas situaciones, a los usuarios o personas afectadas por el tratamiento de sus datos personales. Se ha analizado la legislacin aplicable, donde hemos comprobado que para su identificacin, se deber tener en cuenta principalmente dnde est establecido el responsable de seguridad; Los responsables del tratamiento que estn establecidos en un estado miembro del EEE tendrn en cuenta su ubicacin, las actividades que desempean y dnde realizan el tratamiento de los datos para cumplir con las obligaciones previstas por el Derecho nacional aplicable. En caso de que responsable y encargado no estn ubicados en el mismo estado, el encargado del tratamiento deber cumplir las normativas de la Ley del Estado donde est establecido el responsable y las medidas de seguridad del Estado donde est dicho encargado, prevaleciendo estas ltimas en caso de conflicto. En un segundo caso en el que el responsable no est establecido en el EEE, pero su proveedor utilice para el tratamiento de datos personales medios o equipos situados en el mismo, exportar automticamente la aplicabilidad de los requisitos de la legislacin de proteccin de datos del pas del que se trate y deber designar (salvo que el medio usado slo sea de trnsito) un responsable representante miembro de la EEE. En lo relativo a las transferencias internacionales, se destaca la existencia de una regulacin especfica debido al carcter transnacional de la computacin en la nube. Como aclaracin de este punto, se pasa a estudiar dos casos identificados: movimiento de datos transfronterizo por el encargado sin comunicacin de datos a un tercero y un segundo caso, en el que los datos son comunicados debido a una necesidad del servicio. En ninguno de los casos ser necesario el permiso del interesado. Un aspecto clave de este punto ser el anlisis de la transferencia a: Un pas de la UE, EEE o con un nivel adecuado de proteccin (reconocidos por la Comisin Europea). Un pas sin un nivel adecuado de proteccin. En este caso debe ser autorizado por el Director de la AEPD. Se describen tambin las actividades y funciones de las Autoridades de Control, como autoridades pblicas independientes encargadas de vigilar la aplicacin en su territorio de las disposiciones nacionales adoptadas en aplicacin a la Directiva 95/46/CE en los estados miembros de la UE y la importancia de definir claramente su competencia y mbito ya que los afectados pueden tener que someterse a ms de una autoridad de control o a autoridades de otros estados, siendo a veces necesario que estas autoridades cooperen y se coordinen en un mismo asunto. Tambin se han analizado las comunicaciones de datos a otras autoridades en situaciones en las que el proveedor no est ubicado en Espaa y se solicita el acceso a los datos por parte de la polica u organismos anlogos en el pas donde reside el proveedor.
54
En lo relativo a las responsabilidades del proveedor de servicios en la nube como encargado del tratamiento, se pueden resaltar los siguientes puntos: Tendr en cuenta la tipologa de la nube (publica, privada, comunitaria o hbrida) y el tipo servicio contratado por el responsable. En caso de que se subcontraten servicios a un subencargado, tiene la obligacin de incluir este hecho en el contrato con el cliente, detallando el servicio subcontratado y sobre el que el cliente establecer las instrucciones que considere oportunas. Es responsable de proporcionar los controles de medidas que exige la normativa en base al servicio contratado. La responsabilidad en el tratamiento de datos desde un punto de vista del ciclo de vida de la informacin (creacin, almacenamiento, uso, comparticin o comunicacin, archivo, cancelacin) se relacionar con el tipo de servicio contratado, ya que el tipo de servicio indicar el grado de responsabilidad que le afecta. Adoptar las medidas de seguridad en funcin del modelo de nube (IaaS, SaaS o PaaS) y deber cumplir con las medidas de seguridad aplicables a los datos de carcter personal en lo relativo a: o o o o o o Documento de Seguridad Control de Acceso e Identificacin Gestin de Incidencias Copias de Seguridad y Recuperacin Auditorias elecomunicaciones
Atender el ejercicio de los derechos ARCO si est establecido por contrato. En caso contrario, si los recibiera, deber hacerlos llegar lo antes posible al responsable (en plazo razonable y cumpliendo con los tiempos establecidos). Tendr en cuenta que la deslocalizacin puede ser un inhibidor para contratar sus servicios, por lo que debera establecer medidas que atenen los problemas, por ejemplo, delimitando los pases donde pueden estar los datos, ofreciendo modelos de contratos que contemplen la situacin o aadiendo mecanismos que refuercen la confianza del cliente.
55
En lo relativo a las responsabilidades del cliente como responsable del fichero, se pueden resaltar los siguientes puntos: Deber vigilar el cumplimiento de las obligaciones del proveedor o encargado en materia de proteccin de datos, obligndole a tener una diligencia apropiada. Fijar por contrato temas relacionados con las normativas aplicables, condiciones y garantas de la seguridad de los datos que impidan el acceso a terceros no autorizados, lista de pases donde se permite la prestacin del servicio, informacin que se confa al proveedor, sensibilidad, propsito, etc. Como propietario de la informacin, debe analizar los riesgos sobre el ciclo de vida de la informacin (creacin, almacenamiento, uso, comparticin o comunicacin, archivo, cancelacin) y los activos que lo contienen y gestionan. Debe tener en cuenta la necesidad de hacer auditorias internas y externas de cumplimiento, por lo que incluir estos trminos en los contratos como clusulas de derecho a auditar. Es responsable de que se cumplan los controles, que variarn en funcin del modelo de nube (IaaS, SaaS o PaaS) y el tamao de la organizacin y deber cumplir con las medidas de seguridad aplicables a los datos de carcter personal en lo relativo a: o o o o o o o Documento de Seguridad Responsable de seguridad Control de Acceso e Identificacin Gestin de Incidencias Copias de Seguridad y Recuperacin Auditorias Telecomunicaciones
Atender el ejercicio de los derechos ARCO salvo que, por contrato, se determine que sea el encargado.
56
Cumplimiento con otras legislaciones
5.1 Introduccin
Como se ha comentado ya en varias ocasiones, la computacin en la nube permite a los usuarios y/o clientes almacenar toda la informacin necesaria en servidores de terceros, de forma que puedan ser accesibles desde cualquier terminal que posea acceso a Internet sin la necesidad, por lo general, de instalar un software adicional. Este modelo de gestin totalmente dinmico, requiere que se haga hincapi y se preste especial atencin, adems de a cuantas cuestiones se han abordado especficamente respecto de la proteccin de datos de carcter personal42, a la seguridad de la informacin implicada, y ello, teniendo en cuenta que, con dicho sistema, se facilita el acceso a toda la informacin, documentos y datos que, hasta ahora, se encontraban almacenados en un equipo o servidor local a un proveedor de servicios (excepto en los casos de nubes privadas operadas por la propia organizacin). El modelo de computacin en la nube se basa en la gestin remota, normalmente por parte de un tercero, de la informacin que los usuarios le han transmitido previamente. Todo ello conlleva que, por parte de los destinatarios de servicios en la nube, se vuelque gran cantidad de informacin relevante, tanto de carcter personal como de negocio, a servidores de terceros. Por supuesto, las consecuencias jurdicas de semejantes prcticas son de diverso tipo, como lo son las disposiciones normativas a tener en cuenta y entre las que destacan de manera principal las que someramente se analizan a continuacin. Hoy en da, y debido precisamente a la gestin remota que se realiza de esa informacin, casi toda la tecnologa existente en el modelo de computacin en la nube se basa en la utilizacin de navegadores de Internet, los cuales -progresivamente- se han ido mejorando con funcionalidades entre las que se encuentran frmulas de aceptacin de plug-ins, mquinas de ejecucin de cdigo,etc. que posibilitan a los usuarios, no solamente realizar una navegacin clsica por Internet, sino que tambin permiten la ejecucin de aplicaciones en su sentido ms extenso desde el modelo de computacin en la nube. En este sentido, podemos llegar a vislumbrar que en el futuro puedan generarse litigios entre las diversas empresas que intervienen en la prestacin de servicios informticos bajo este modelo debido a una pretendida vulneracin de la legislacin en materia de propiedad intelectual e industrial.

Este captulo se ha organizado entorno a la legislacin aplicable en Espaa para los servicios de computacin en la nube, aparte de la ya analizada en el Captulo 4 en materia de proteccin de datos de carcter personal.
42
Ver Captulo 4 previo.
5. Cumplimiento con otras legislaciones
58
De esta forma, este captulo cuenta con apartados dedicados al anlisis concreto de las siguientes normas: nteproyecto de Ley de modificacin de la Ley 32/2003, de 3 de noviembre, General de A Telecomunicaciones. ey 11/2007, de Acceso Electrnico de los Ciudadanos a los Servicios Pblicos. L ey 34/2002, de 11 de julio, de Servicios de la Sociedad de la Informacin y Comercio ElecL trnico. ey Orgnica 10/1995, de 23 de noviembre, del Cdigo Penal. L spectos Jurdicos Laborales A En cada uno de estos apartados, se incluyen las reflexiones y recomendaciones relevantes por lo que no existe un apartado de conclusiones o recomendaciones generales general en este captulo.
5.3 Anteproyecto de Ley de modificacin de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones

La Ley 32/2003 General de Telecomunicaciones vela por el cumplimiento de las obligaciones relacionadas en materia de secreto de las comunicaciones y proteccin de datos personales, as como de los derechos y obligaciones de carcter pblico vinculados con las redes y servicios de comunicaciones electrnicas, mediante la imposicin de las correspondientes sanciones en el caso de un eventual incumplimiento. Con motivo de la transposicin al ordenamiento jurdico nacional del denominado Paquete de Directivas Telecom de 2009, el Ministerio de Industria, Turismo y Comercio ha elaborado un Anteproyecto de Ley de modificacin de la actualmente vigente Ley 32/2003, que deber dar lugar a la nueva Ley General reguladora del sector de las telecomunicaciones antes del prximo 25 de mayo de 2011. A falta de la aprobacin del Anteproyecto y posterior implantacin del texto definitivo, todo apunta a que la nueva norma dar lugar a la incorporacin a nuestro ordenamiento de una serie de disposiciones que afectan de manera muy directa a los prestadores de servicios de computacin en la nube. As, una presumible incorporacin de lo ya establecido en el Considerando (6) de la denominada Directiva Acceso43 respecto del concepto de acceso a las redes de comunicaciones electrnicas, incluyendo los servicios asociados (otorgando tal calificacin a cualesquiera servicios que apoyen el suministro de servicios de comunicaciones electrnicas o tengan potencial para ello) tendra inevitables consecuencias, entre otros, para los prestadores de servicios en la nube. En este sentido, frente al concepto de acceso a redes generalmente reconocido a los operadores de comunicaciones electrnicas, conviene tener presente que las condiciones y obligaciones que la regulacin
43
Directiva 2002/19/CE del Parlamento Europeo y del Consejo, de 7 de marzo de 2002, relativa al acceso a las redes de comunicaciones electrnicas y recursos asociados, y a su interconexin (Directiva de acceso) [Diario Oficial L 108 de 24.04.2002].
59
impone estn encaminadas a garantizar el acceso de los usuarios finales a cualquier servicio soportado por una red o servicio de comunicaciones electrnicas. A este respecto, debe tenerse en cuenta que podran producirse conflictos de acceso, no slo entre operadores de telecomunicaciones, sino tambin entre stos y otras entidades que carezcan de tal naturaleza pero que proporcionen servicios de la sociedad de la informacin (como es el caso de los prestadores de servicios en la nube) o de contenidos a los usuarios finales y necesiten de funcionalidades o recursos asociados para la efectiva prestacin de un servicio de calidad y con unas prestaciones determinadas. La principal consecuencia de lo anterior no es otra que, con toda probabilidad, el texto de la an por llegar Ley General de Telecomunicaciones contemplar la posibilidad de que la Comisin del Mercado de las Telecomunicaciones vea ampliado su marco de actuacin, pudiendo intervenir en la resolucin de conflictos que pudieran surgir a modo de ejemplo- entre prestadores de servicios en la nube y operadores de telecomunicaciones. Todo lo anterior, con el objetivo ltimo de preservar los derechos de los clientes finales de las empresas de computacin en la nube a una prestacin con garantas y en condiciones de idoneidad de los servicios contratados con stas. Estableciendo un sencillo paralelismo: Del mismo modo que se benefician los usuarios de telecomunicaciones de la intervencin en el mercado del rgano regulador, es previsible que se puedan beneficiar (en trminos de calidad del servicio) los clientes de las empresas de servicios en la nube, en caso de producirse la reforma referida en los trminos expuestos.
5.4 Ley 11/2007, de Acceso Electrnico de los Ciudadanos a los Servicios Pblicos
La Ley 11/2007, de Acceso Electrnico de los Ciudadanos a los Servicios Pblicos supone un importante reto para las administraciones pblicas si desean estar en condiciones de poder cumplir los requisitos de acceso electrnico de los ciudadanos a la Administracin. El modelo de computacin en la nube constituye una alternativa econmica y viable para mejorar los servicios pblicos que las administraciones prestan a los ciudadanos, a la vez que permiten tanto una mejora de la operativa funcionarial interna como de sus relaciones electrnicas con otras administraciones. Los sistemas informticos que se implanten siguiendo el modelo de computacin en la nube con la finalidad de dar cumplimiento a esta ley, deben centrarse en potenciar los sistemas de gestin de las Entidades Pblicas y en optimizar la actividad de los funcionarios y mejorando la atencin al ciudadano, en todo lo referente a la gestin de procesos, la gestin econmica y presupuestaria, la gestin de la poblacin y del territorio y a los sistemas de acceso a informacin y de fomento de la interoperabilidad, el establecimiento de portales de atencin al ciudadano a travs de Internet y la creacin de Intranets.
5.5 Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Informacin y Comercio Electrnico

La prestacin de servicios denominados de la Sociedad de la Informacin entre los que, sin duda, se cuentan los servicios de computacin en la nube- no requiere, de conformidad con el artculo 6 de la Ley de Servicios de la Sociedad de la Informacin y del Comercio Electrnico (en adelante denominada, LSSI), autorizacin previa alguna, encontrando este supuesto su nica excepcin en los casos de prestacin de servicios relacionados con materias reguladas cuya normativa especfica as lo requiera. Sin embargo, estos proveedores de servicios s debern comunicar al Registro Mercantil en que se hallaran inscritos, al menos, un nombre de dominio o direccin de Internet desde el que prestarn sus servicios con el fin de permitir su identificacin.
60
Tomando en consideracin que los prestadores de servicios en la nube disponen, por lo general (como no puede ser de otra manera, teniendo en cuenta el mbito en que prestan sus servicios) de un sitio web a travs del que establecen la relacin con sus clientes, quedan obligados, de conformidad con lo establecido en el artculo 10 de la LSSI, a suministrar a los destinatarios y a los rganos que resultaran competentes, determinada informacin. Entre otros datos, debern hacerse accesibles aquellos que permitan establecer con l lo que el citado texto normativo denomina una comunicacin directa y efectiva (a saber, su denominacin y domicilio social o, en su caso, la direccin de uno de sus establecimientos permanentes en Espaa). Adems, en caso de que se ofrecieran servicios o productos, informacin precisa acerca de los mismos y sus precios y gastos de envo si procediera (con el detalle de los impuestos que resultaran de aplicacin si fuera pertinente). Dicha informacin establece la propia LSSI- deber proporcionarse de manera claramente visible e identificable, siendo preceptivo que resulte accesible por medios electrnicos. En este sentido, se tiene por debidamente cumplida tal obligacin, en aquellos supuestos en que el prestador del servicio en cuestin facilite la citada informacin en su sitio de Internet respetando los ya aludidos requisitos de visibilidad y accesibilidad con que en todo caso se deben ofrecer. Adicionalmente a cuantas obligaciones resulten de aplicacin, la prestacin de servicios de la Sociedad de la Informacin que realizan las empresas de computacin en la nube queda sometida a un rgimen de responsabilidades que variar en funcin del tipo de servicio prestado. De manera general, puede hacerse referencia a las responsabilidades inherentes a cualquier prestador de servicios en la nube (sin perjuicio de que algunas otras de las contenidas en el texto de la LSSI lo sean para unos y no para otros en virtud de las actividades que lleven a cabo): La responsabilidad que tendrn como prestadores de servicios de alojamiento o almacenamiento de datos44. Hasta tal punto alcanza tal responsabilidad que las empresas de computacin en la nube, devendrn en responsables de la informacin de terceros almacenada, en tanto en cuanto, tengan conocimiento efectivo de que la misma resulte ilcita o de algn modo lesiva y no acten con la diligencia debida para evitar el acceso a la misma o para proceder a su retirada. De alguna manera, puede entenderse que este rgimen de responsabilidad de las empresas proveedoras de servicios en la nube, a menudo comportar la adopcin de las medidas pertinentes por parte de las mismas para evitar tener acceso a la informacin de terceros que almacenen. Evitando el conocimiento efectivo, estaran eludiendo responsabilidades sobre el mismo, lo que, al tiempo, supondra una ventaja en relacin con la seguridad para el propio destinatario de sus servicios. Conviene aqu sealar que la Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Informacin introduce una modificacin a la Ley 34/2002, por lo que en su art.12.2 bis establece las obligaciones que deben cumplir los prestadores de servicios de la sociedad de la informacin en relacin con la informacin que deben facilitar sobre las medidas de seguridad que deben implantarse ante posibles amenazas.
44
Entre otras, podran resultar objeto de anlisis las posibles responsabilidades de los prestadores de servicios en la nube con motivo de la realizacin de copias temporales de datos de los usuarios o del hecho de que pudieran facilitar enlaces a contenidos o instrumentos de bsqueda. Si bien estas responsabilidades concretas no parecen dirigidas a empresas de computacin en la nube, el modo en que stas prestaran sus servicios podran verse afectadas por las mismas. Sin duda, tal determinacin requerira un estudio caso por caso de la forma y los entornos en que se prestan los servicios en la nube.
61
De esta manera, los proveedores de servicios establecidos en Espaa que realicen actividades consistentes en la prestacin de servicios de acceso a Internet, estn obligados a informar a sus clientes de forma permanente, fcil, directa y gratuita sobre: a) Los medios de carcter tcnico que aumentan los niveles de la seguridad de la informacin y permiten la proteccin frente a virus informticos y programas espa y la restriccin de correos electrnicos no solicitados. b) Las medidas de seguridad que estos proveedores aplican en la provisin de los servicios. c) Las herramientas existentes para el filtrado y restriccin del acceso a determinados contenidos y servicios en Internet no deseados o que puedan resultar nocivos para la juventud y la infancia. d) Las posibles responsabilidades en que puedan incurrir por el uso de Internet con fines ilcitos, en particular, para la comisin de ilcitos penales y por la vulneracin de la legislacin en materia de propiedad intelectual e industrial. e) Las obligaciones de informacin referidas en los apartados anteriores se darn por cumplidas si el correspondiente proveedor incluye la informacin exigida en su pgina o sitio principal de Internet en la forma establecida en los mencionados apartados.
5.6 Ley Orgnica 10/1995, de 23 de noviembre, del Cdigo Penal

El pasado 23 de diciembre, entr en vigor la reciente reforma del Cdigo Penal (Ley Orgnica 5/2010 de 22 de junio, en adelante, CP) por la que se incorpora, por vez primera a nuestro Ordenamiento Jurdico, la responsabilidad penal de las personas jurdicas. Los ilcitos cuya comisin es ms factible por parte de una empresa proveedora de servicios en la nube, son aquellos que recaen sobre los activos de informacin de los que es responsable el cliente (revelacin de secretos, violacin del secreto de las comunicaciones, delitos contra la propiedad intelectual e industrial, etc.) y entre ellos, los que recaen sobre los datos de carcter personal, en los que adems de responder penalmente, habr cometido una infraccin administrativa (adems de su respectiva responsabilidad civil, frente al responsable del fichero y frente al afectado, respectivamente). La propia LSSI antes mencionada expresamente establece que, sin perjuicio de lo dispuesto en la misma, los prestadores de servicios de la Sociedad de la Informacin (entre los que, como se ha dicho, se encuentran las empresas de computacin en la nube) estn sujetos a la responsabilidad civil, penal y administrativa establecida con carcter general en el ordenamiento jurdico. Es responsable penal la persona jurdica, como tal, respecto de los delitos cometidos en su nombre o por su cuenta y en su provecho por las personas que tienen poder de representacin en las mismas (los administradores de hecho o de derecho y representantes legales), as como, por sus empleados cuando la empresa no haya realizado el debido control sobre stos (art. 31 bis CP). La responsabilidad penal de la persona jurdica se podr declarar con independencia de que se pueda o no individualizar la responsabilidad de la persona fsica que tiene la capacidad de representar a la empresa. En todo caso, la responsabilidad de las personas morales no viene a sustituir la de sus administradores que pueden llegar a sufrir penas de prisin.
62
Por ello, con la reciente reforma del Cdigo Penal espaol, se ha incrementado el riesgo de que un directivo sea imputado e incluso condenado por la mala conducta de un trabajador de la empresa o, incluso, por una decisin operativa o estratgica. Esta reforma viene a recordar de manera ms perentoria a las empresas a las que pueda resultar de aplicacin del Cdigo Penal espaol, la necesidad de implantar un sistema de supervisin y control de cumplimiento normativo como mecanismo indispensable y eficaz de prevencin y mitigacin de su responsabilidad penal. En paralelo, el legislador tambin ha querido premiar a las sociedades ms diligentes por lo que su responsabilidad penal se ver atenuada en caso de que se produzca: a) Confesin de la infraccin ante las autoridades. b) Colaboracin en la investigacin del hecho delictivo. c) Reparacin del dao causado por el delito. d) Establecimiento de medidas eficaces para prevenir y descubrir los delitos que en el futuro pudieran cometerse con los medios o bajo la cobertura de la persona jurdica. Ms concretamente, en el mbito de computacin en la nube, podemos mencionar que si la empresa proveedora de servicios no despliega unas polticas de control interno que resulten suficientes para crear un clima favorable para que sus directivos y empleados comentan delitos, puede ser penalmente responsable, al igual que si no ejerce la vigilancia debida sobre los mismos (culpa invigilando). Por ello, resulta muy aconsejable que las empresas dispongan de sistemas de prevencin, medidas de vigilancia y control que permitan evitar o detectar la posible comisin de ilcitos penales. De este modo, la compaa estar en mejor posicin para acreditar la realizacin del debido control sobre sus empleados y por lo tanto atenuar la responsabilidad derivada de la nueva regulacin del CP. Estas actuaciones se debern implementar en las empresas a travs de un plan preventivo integral dirigido a identificar, prevenir y mitigar riesgos penales de origen corporativo. Para ello, se deber analizar y regularizar la documentacin jurdico-financiera de la empresa (tanto en soportes fsicos como digitales) y los procedimientos relacionados con la produccin, operaciones y administracin (calidad, ISO, procesos, productos, relaciones laborales, etc.). Y en el rea ms puramente tecnolgica, debern ponerse en prctica acciones conducentes a la elaboracin de: a) Cdigos ticos de buen gobierno corporativo. b) Programas de cumplimiento corporativo que garanticen el cumplimiento de la ley. c) Preparacin de un programa con contenido informtico forense que permita la trazabilidad y generacin de la prueba en los sistemas informticos.
63
d) Normas de organizacin interna en materia informtica y tecnolgica. e) E-discovery: Programas de revisin de la documentacin depositada en formato digital. f) Comits de vigilancia y supervisin tanto fsica cmo lgica del que deben formar parte consejeros independientes. Los prestadores de servicios en la nube, por tanto, pueden llevar a cabo conductas expresamente tipificadas como faltas o delitos en el Cdigo Penal, de las que pueden a su vez resultar afectados los destinatarios de tales servicios. En este sentido, y sin perjuicio de cualesquiera otros que pudieran resultar de aplicacin segn el supuesto concreto, procede aqu hacer mencin a un conjunto de artculos del Cdigo Penal Espaol. As, en los delitos relativos a la propiedad industrial, la intervencin penal relativa a la propiedad industrial se centra en dos sectores de la actividad mercantil, el que abarca las creaciones industriales, por un lado, y el relativo a los signos distintivos, por otro. En concreto, la intervencin punitiva va encauzada a la proteccin de las patentes, modelos de utilidad y la proteccin de las marcas (Art. 273 y 274 CP). En el delito de espionaje industrial (Art. 278 CP), la conducta tpica consiste en el descubrimiento de un secreto de empresa, apoderndose de datos, documentos escritos o electrnicos, soportes informticos u otros objetos y, adems, constituye un tipo agravado el apoderamiento seguido de la difusin. Lo dispuesto respecto a este delito es independiente de las penas que puedan corresponder por el apoderamiento o la destruccin de los soportes informticos (hurto, robo, etc.). La violacin de los deberes de reserva (Art. 279 CP) consiste en el descubrimiento de secretos por parte de quien ha tenido acceso a los mismos de forma legtima, pero viola las reglas que exigen el mantenimiento del mismo por tener legal o contractualmente obligacin de guardar reserva con respecto a l. La accin tpica consiste en difundir, revelar o ceder el secreto, diferencindose del caso anterior tan slo en la forma de acceder al mismo. En este sentido, el art. 279.2 CP contiene un tipo privilegiado que reduce la pena al sujeto que viola los deberes, no de reserva frente a terceros, sino de aprovechamiento personal del secreto frente a quien se lo ha facilitado legalmente. As, a modo de ejemplo, aquellos proveedores de servicios de computacin en la nube que se apoderen, utilicen o modifiquen, en perjuicio de un tercero, tanto datos de carcter personal como datos relacionados con las comunicaciones que se hallen registrados en ficheros o soportes informticos, electrnicos o telemticos podrn estar incurriendo en un delito de descubrimiento o revelacin de secretos tipificado por el cdigo Penal. A su vez, en caso de tratarse de datos de carcter personal, la pena se agravar si el infractor, en su calidad de encargado o responsable de los ficheros, difundiera, revelara o cediera a terceros los datos en cuestin. Con independencia del mayor detalle con que siempre podra abordarse esta cuestin, resulta -a los efectos que aqu interesan- significativo que el legislador penal es bien consciente de la posicin relevante que ostenta cualquiera que pudiera tener, de manera general, acceso a informacin de terceros45. En el rea de lo que se define con mayor precisin como el delito informtico, el art. 264 CP hace extensible la responsabilidad por este delito a las personas jurdicas, incurriendo con ello en penas de multa u
45
Vid. artculo 197 del Cdigo Penal
64
otras a juicio de los jueces y tribunales. La conducta tpica se produce cuando el objetivo de la actividad realizada es daar, alterar, suprimir o hacer inaccesible datos o programas electrnicos ajenos. En lo que se refiere al continente del objeto destruido, alterado, inutilizado o daado, los datos, programas o documentos electrnicos deben hallarse en redes, soportes o sistemas informticos. De la literalidad de la norma podemos inducir que el medio utilizado para cometer la accin puede ser cualquier medio. Con ello se engloba cualquier posibilidad, y por tanto, la norma jurdica iguala, por tanto, un acto de destruccin fsica a un acto de manejo de un ordenador. Sin que deba atenderse en absoluto que una empresa de computacin en la nube tenga por objeto la realizacin de las conductas a las que nos referiremos a continuacin, a travs de los medios de los que dispone un prestador de servicios en la nube pueden realizarse actividades fraudulentas consistentes -por ejemplo- en la creacin de ficheros informticos paralelos produciendo un error en el usuario que tendr la idea de estar actuando en un entorno distinto del real. Este tipo de actividades son, con frecuencia, ejecutadas con el fin de llevar a cabo transacciones fraudulentas, definidas en el Cdigo Penal (art. 248 CP) como aquellas que, utilizando engao bastante mediante manipulacin informtica o artificio semejante para la produccin de error en un tercero, induzca a ste a realizar actos de disposicin o transferencias no consentidas de activos patrimoniales en perjuicio propio o ajeno. Obviamente, a travs del modelo de computacin en la nube podran llegar a proliferar estafadores cuya actividad delictiva consista en la creacin de pginas web de Internet falsas cuya finalidad consistira en apropiarse indebidamente de informacin volcada por los usuarios, as como en realizar acciones tendentes a modificar o a sustituir el archivo del servidor de nombre de dominio, dando lugar a un cambio de la direccin IP legtima de una entidad e induciendo a que cuando el usuario escriba el nombre de dominio sobre la barra de direcciones, el navegador lo redirija a una direccin IP falsa. Una vez que se ha redireccionado al usuario a la pgina web de Internet fraudulenta, el estafador podra obtener aquellos datos personales pertenecientes a la vctima as como la informacin confidencial necesaria para realizar transacciones fraudulentas. Como decimos, la actividad que aqu se describe encontrara un encuadre en el tipo penal del fraude online, recogido en el artculo 248 del Cdigo Penal. En relacin con las posibles colisiones con los derechos de propiedad intelectual, la nube podra llegar a ser un entorno inseguro para poner a disposicin del pblico determinados contenidos sujetos a derechos de propiedad intelectual de consumo tpicamente lineal como pueden ser los libros electrnicos, las pelculas, msica, etc. Sin embargo, s puede ser un entorno seguro y atractivo para aquellos contenidos sujetos a derechos de propiedad intelectual de consumo interactivo como los videojuegos o el software que slo se pueden ejecutar en la nube, sin que se deba acceder al archivo que los contiene en un determinado servidor y sin que se deban llevarse a cabo copias o su instalacin en el terminal propio del usuario. El artculo 270 del Cdigo Penal es un precepto que contiene importantes elementos normativos que deben ser interpretados acudiendo a la legislacin reguladora mercantil y civil. En ese artculo se describen las acciones que resultan sancionables y establece la exigencia de un dolo especfico, esto es, obrar con nimo de lucro y en perjuicio de tercero. Esta frase implica que el delito se consuma con la realizacin de la conducta tpica sin que sea necesario que se llegue a producir de hecho un perjuicio en el titular de los derechos o que se logre el lucro perseguido. Sin embargo, no habr delito cuando falte el nimo de lucro, como es el caso, de quien realiza una copia privada sin autorizacin del titular. El elemento subjetivo
65
exigido, esto es, el nimo de lucro, no puede tener una interpretacin amplia o extensiva sino que ha de ser entendido sentido estricto de lucro comercial. Por ello, las conductas para la comunicacin u obtencin de obras protegidas en Internet o utilizando nuevas tecnologas de la informacin -como colocar en la red o bajar de Internet- no son oponibles si no concurre nimo de lucro comercial. Este artculo del cdigo Penal recoge en su texto cuatro conductas bsicas: la reproduccin, el plagio, la distribucin y la comunicacin pblica de las obras. Y en relacin con ellas, son tres las circunstancias necesarias que los hechos encuentren encajen en el tipo delictivo: Una accin de reproduccin, plagio, distribucin o comunicacin pblica de una obra literaria artstica o cientfica o de transformacin, interpretacin o ejecucin de las mismas en cualquier tipo de soporte o su comunicacin por cualquier medio; La carencia de autorizacin para cualquier clase de esas actividades por parte de los titulares de los correspondientes derechos de propiedad intelectual; La realizacin intencionada de esas conductas con la concurrencia de dolo especfico, esto es, nimo de lucro. En todo caso, en el modelo de computacin en la nube, las empresas clientes podran desear acceder y usar los servicios prestados de acuerdos con sus propias necesidades, beneficindose del acceso a los servicios, contenidos y software que proporciona la empresa proveedora. Sin embargo, en determinados casos las empresas clientes tambin perseguirn que los derechos de propiedad intelectual que ellas generen sobre sus propios contenidos o el nuevo software (original o derivado) creado o almacenado en la nube queden debidamente protegidos. Una de las soluciones que se imponen pasara por introducir en el contrato que rige la prestacin de servicios en la nube y en la poltica de uso o de acceso a la nube las clusulas tendentes a establecer el equilibrio necesario entre la responsabilidad debida por las empresas clientes al ejecutar y usar los contenidos, servicios y software ajenos desde la nube y las medidas de seguridad tendentes a proteger los derechos de propiedad intelectual que debern ser garantizados por la empresa prestadora de servicios. En esta misma lnea, conviene destacar que la utilizacin de las aplicaciones alojadas en la nube puede dar lugar a la generacin de creaciones intelectuales merecedoras de proteccin en materia de derechos de propiedad intelectual, por lo que resulta muy aconsejable incluir en el contrato clusulas dirigidas a establecer el rgimen de titularidad o de co-titularidad de los derechos de propiedad intelectual relativos a las creaciones intelectuales que pudieran generarse bajo el modelo de negocio de la nube. Existe, asimismo, la posibilidad de que las empresas clientes utilicen los servidores en la nube para almacenar contenidos o software ajenos como forma a su vez- de prestar servicios a terceros, de forma que queden alojadas copias de contenidos y de software en servidores de almacenamiento remoto desde los cuales que posteriormente puedan realizarse reproducciones. Cuando este tipo de servicios se prestan en la manera descrita, las empresas clientes ponen a las empresas proveedoras de estos servicios en la nube en riesgo de una responsabilidad jurdica en funcin de las potenciales infracciones de derechos de la propiedad intelectual que pudieran producirse. Si este fuese el caso, resulta necesario incluir en el contrato de servicios en la nube la asuncin expresa e inequvoca por parte de las empresas clientes de toda responsabilidad jurdica que pudiera surgir con motivo de estos actos potencialmente ilcitos, mediante la
66
incorporacin en el contrato y en la poltica de uso de los servicios en la nube de aquellas previsiones a travs de las cuales la empresa prestadora de servicios pueda reservarse a su favor la facultad tanto de hacer un seguimiento como de eliminar aquellos contenidos y software ajenos que los usuarios terceros puedan incluir en los servidores de la nube, establecindose para ellos determinados criterios como que puedan afectar a derechos de terceros, intereses u orden pblicos, etc.46 La deslocalizacin internacional caracterstica propia de la prestacin de servicios en la nube- puede dar lugar en ocasiones a la utilizacin del contenido ajeno, software ajeno o de servicios que se prestan desde jurisdicciones donde est prohibido su uso o el mismo no se encuentra autorizado. Por ello, se hace necesario contemplar en el contrato regulador de estos servicios las restricciones que deban regir respecto del uso de los servicios en la nube en relacin con aquellos territorios desde donde no resulta lcito su utilizacin, as como establecer los ms adecuados mecanismos de control tecnolgico de forma que ese contenido o software ajeno no pueda ser ejecutado en tales territorios. Otra solucin jurdica viable consistira en renegociar y ampliar las licencias firmadas entre los terceros proveedores de software, contenidos o servicios y la empresa proveedora de servicios en la nube para que las empresas clientes puedan utilizar lcitamente tales derechos desde cualquier jurisdiccin. En definitiva, puede entenderse que el entorno de Internet -en general- y el de los servicios de computacin en la nube -en particular- podran servir de medio para la realizacin de conductas delictivas, lo que, sin embargo, no debe constituir una seal de alarma mayor que la que pudiera entenderse en entornos no digitales.
5.7 Aspectos Jurdicos Laborales

En la medida en que la gestin de los sistemas utilizados en el modelo de computacin en la nube es desempeada por un tercero, el cumplimiento del deber de vigilancia de la actividad de los empleados por parte de la empresa cliente se ve de algn modo limitada. Sin embargo, tanto la empresa proveedora de servicios en la nube, como la empresa cliente mantienen la obligacin de establecer los mecanismos adecuados con el fin de que se produzca el adecuado uso de los servicios tanto por los propios empleados como por parte de los empleados de la empresa cliente. Es importante destacar que el establecimiento de estos mecanismos provoca ineludiblemente la aparicin de un riesgo de intromisin en los derechos a la intimidad del trabajador, mientras que en paralelo- la misma posibilidad de acceder desde cualquier punto de conexin a la informacin depositada en los servidores de computacin en la nube, puede conducir a un uso fraudulento de la identidad de los usuarios finales (tambin, potencialmente, trabajadores de la empresa cliente), si entre otras medidas - no se implanta un sistema a travs del cual se procura una rigurosa gestin de los controles de acceso por parte de esos trabajadores. Un sistema excesivamente laxo de gestin de los nombres de usuario y de sus correspondientes contraseas puede dar lugar a la violacin de las obligaciones de confidencialidad asumidas por las empresas en relacin con terceros y la consiguiente extraccin no deseada de informacin de los sistemas por parte de terceros no autorizados. La implantacin de los denominados protocolos de utilizacin de herramientas informticas y tecnolgicas en el puesto de trabajo se presenta en el modelo de computacin en la nube con una obligacin ms que inexcusable al objeto de delimitar el uso que los trabajadores pueden realizar de las aplicaciones ubicadas en la nube.
46
Los aspectos relativos a la contratacin se analizan detalladamente en el Captulo 7.
67
Este protocolo debe tener su reflejo en la inclusin en el contrato laboral de aquellas condiciones contenidas en el mismo, de tal forma que su incumplimiento por parte del trabajador como, por ejemplo, la obligacin de secreto de la informacin a la que se tiene acceso- pueda resultar en la adopcin de las correspondientes acciones disciplinarias que en materia laboral sean de aplicacin. En todo caso, las medidas impuestas por parte de las empresas (tanto proveedoras de servicios en la nube como de empresas clientes de estos servicios) deben guardar una adecuada proporcionalidad con los objetivos que se persiguen, no implicar la utilizacin de medios intrusivos y deben estar debidamente justificadas en relacin con los propsitos perseguidos en el marco de la contratacin efectuada. En el protocolo se establecer el modo en el que se generarn las evidencias electrnicas as como su procedimiento de obtencin, conservacin y aportacin47. Asimismo, en dicho protocolo deber especificarse la persona responsable que en el seno de la propia empresa realizar el seguimiento y el control de la actividad en la nube por parte de los trabajadores -tanto en el mbito profesional como en privado, si fuese el caso- y cuyo alcance, lgicamente, depender de las caractersticas propias de las aplicaciones, infraestructuras o plataformas que sean objeto de contratacin por parte de las empresas.
47
Este aspecto se trata con detalle en el Captulo 8.
68
Sistemas de Gestin de la Seguridad de la Informacin en la nube
6.1 Introduccin
El uso de la computacin en la nube supone un impacto significativo para los procesos de operacin y mantenimiento de sistemas de informacin con respecto a los modelos tradicionales, as como en la prestacin de servicios hacia el pblico objetivo al que se dirigen. Del mismo modo, el uso de la computacin en la nube afecta sustancialmente a los modelos de gestin de seguridad de la informacin. El objetivo de este captulo es proporcionar una serie de pautas para establecer, de forma prctica y eficaz, un adecuado Sistema de Gestin de Seguridad de la Informacin (en adelante, SGSI) por parte de aquellas empresas que deseen utilizarlo en el mbito de la computacin en la nube. Por tanto, es relevante para usuarios, clientes finales, as como para proveedores que deseen implantar un SGSI, en funcin de su rol en este mbito. Este apartado se centrar nicamente en aquellos aspectos del establecimiento de un SGSI que sean caractersticos de la computacin en la nube. Aquellos lectores interesados en obtener una visin general sobre SGSI debern referirse al estndar de referencia ISO/IEC 27001:2005 (en adelante ISO 27001). Es necesario destacar que las recomendaciones incluidas en este apartado hacen referencia frecuentemente a los controles del estndar ISO/IEC 27002 (en adelante ISO 27002), as como a los controles de la matriz desarrollada por CSA [CSA, diciembre 2010].

Este captulo se ha estructurado siguiendo las etapas generalmente aceptadas para la implantacin de un SGSI (ver Ilustracin 3). De esta forma, comenzando por un apartado inicial en el que se tratan los principios generales de despliegue de un SGSI en la nube, se han incluido tres apartados que agrupan las tareas de despliegue en tres grandes fases: I. Definicin y preparacin del SGSI II. Implantacin y operacin del SGSI III. Seguimiento y mejora del SGSI
6. Sistemas de Gestin de la Seguridad de la Informacin en la nube
70
Ilustracin 3. Fases de despliegue de un SGSI

Definicin y preparecin del SGSI
Fases del SGSI

Seguimiento y mejora del SGSI Implantacin y operacin del SGSI
En cada una de las fases se incluyen recomendaciones relativas a la implantacin de un SGSI considerando los diferentes modelos de despliegue de servicios en la nube (modelo SPI) y para los distintos actores (cliente o proveedor).
6.3 Principios generales de despliegue de un SGSI

El establecimiento de un SGSI est basado en el principio de mejora continua (modelo Plan-Do-Check-Act), tal y como establece el estndar de referencia ISO 27001. Este principio sigue siendo aplicable en el caso de la computacin en la nube, as como el modelo general para el establecimiento, implementacin, operacin, supervisin, revisin, mantenimiento y mejora de un SGSI definidos en dicho estndar. Las particularidades en el caso de la computacin en la nube responden a la propia naturaleza de dicho servicio y el hecho de que ste sea a la carta, multi-inquilino48, elstico, medible, accesible por red, en ocasiones auto-provisionable y soportado por recursos compartidos. Estas caractersticas implican una diferencia en los niveles y en los mecanismos de gestin del riesgo existentes con respecto a los sistemas de informacin tradicionales y, por tanto, la necesidad de un cambio en la gestin de la seguridad por parte de usuarios, clientes y proveedores. Este cambio no implica que siempre haya que realizar tareas adicionales, sino que debemos afrontarlas de distinta manera (de hecho, en mltiples ocasiones, se simplifican para alguno de los actores, las tareas la implantacin de este tipo de sistemas de gestin). Asimismo, en el proceso de implantacin del SGSI, ser necesario diferenciar claramente el mbito de actuacin: usuario, cliente o proveedor; as como el tipo de servicio utilizado conforme al modelo SPI. En el caso de una empresa usuaria de servicios en la nube, se deber prestar especial atencin a la integracin de los sistemas de informacin tradicionales con las particularidades concretas de la computacin
48
Del ingls, multi-tenant
71
en la nube, as como la integracin de los indicadores especficos de gestin e integracin del posible SGSI del proveedor, la definicin de un correcto alcance, as como a las clusulas del contrato y los acuerdos de nivel de servicio con el proveedor49. Por otro lado, los proveedores de servicios en la nube debern focalizar sus esfuerzos en proporcionar los niveles de seguridad adecuados para cada cliente sobre la base de las normativas aplicables; as como en gestionar el cumplimiento de los niveles de servicio acordados. En cuanto al tipo de servicio, en el caso de SaaS el proveedor estar dotado de un mayor grado de responsabilidad con respecto a la ejecucin de controles que en el caso de PaaS y, a su vez, es mayor en el escenario PaaS que en el IaaS. Esto determinar el grado en que el cliente deber delegar la gestin de controles al proveedor, as como la forma de asegurar su correcto diseo y operacin50.
6.4 Fase I. Definicin y preparacin del SGSI 6.4.1 Presentacin inicial

Es altamente recomendable iniciar el ciclo de vida de un SGSI con una presentacin a las principales reas involucradas, a fin de comunicar, revisar y establecer los objetivos, la organizacin, el grado de participacin requerido y la identificacin de los interlocutores para la implantacin y seguimiento.
Ilustracin 4. Etapas de la Fase I

Metodo Evaluacin Riesgos
Presentacin Inicial
Activos
Definicin
Organizacin
Amenazas
Alcance
Poltica de Seguridad
Impactos
Seleccin de Controles
49
50
Este aspecto se tratar ms adelante en el Captulo 7 Efectos de la computacin en la nube sobre la contratacin de servicios TIC de este documento. Por ejemplo, mediante el uso de acuerdos y mtricas de nivel de servicio como veremos en el Captulo 7.
72
En el caso de computacin en la nube, es primordial involucrar a los proveedores desde el inicio para asegurar un grado de colaboracin adecuado durante todo el proceso. Cabe destacar que el ciclo de vida de un SGSI es indefinido y por tanto ser necesario asegurar un compromiso permanente por parte de stos. En el caso de nuevos proveedores, ser necesario formalizar dicho compromiso antes de iniciar la prestacin de servicios.
6.4.2 Definicin del SGSI

Es necesario establecer desde el principio qu se entiende por un SGSI, as como definir los conceptos que debern utilizar y compartir todos los participantes. En este sentido, es importante que clientes y proveedores de computacin en la nube consensuen un lenguaje comn en sus acuerdos y mtricas, as como en las clusulas del contrato de servicios51. Los usuarios del SGSI, independientemente de ser cliente o proveedor, tambin debern conocer y entender las implicaciones y los nuevos requisitos que se impondrn en la implantacin as como en el posterior mantenimiento.
6.4.3 Alcance del SGSI

La organizacin debe definir el alcance y los lmites del SGSI en base a las caractersticas del negocio y la organizacin, sus objetivos, ubicacin, activos y tecnologa; y justificar cualquier exclusin del mbito de aplicacin. La definicin del alcance es un aspecto esencial en la implantacin de cualquier SGSI cuando existe involucracin de terceros y la computacin en la nube no es una excepcin (excepto en los casos de nubes privadas donde la gestin corresponde a la misma organizacin). Por tanto, es importante que la organizacin invierta recursos tanto en identificar los procesos que deben ser incluidos en el SGSI como en analizar su grado de dependencia de la computacin en la nube. Cabe destacar que no hay que excluir obligatoriamente del alcance del SGSI aquellas actividades efectuadas por proveedores dentro de los procesos seleccionados. Con el fin de gestionar dicha casustica, se recomienda a la organizacin usuaria considerar la aplicacin de controles especficos para terceras partes previsto por el propio estndar ISO 27002. Por otra parte, es posible que las actividades efectuadas o gestionadas por proveedores dentro del alcance estn a su vez incluidas dentro de un SGSI del proveedor; en lo que podramos denominar como SGSIs encapsulados. En este caso, la organizacin usuaria puede utilizar la certificacin y/o evidencias del SGSI del proveedor como pruebas de una gestin adecuada para su propio SGSI (en relacin a las actividades efectuadas por dicho proveedor). El mismo razonamiento puede aplicarse a la subcontratacin de servicios por parte del proveedor de computacin en la nube a otros proveedores (cadena de aprovisionamiento). Dicho intercambio de informacin deber ser regulado y aceptado por ambas partes para proteger la integridad de ambos SGSI, as como definir su uso y frecuencia. Los proveedores de servicios en la nube que deseen implantar un SGSI debern prestar especial atencin a que el alcance sea significativo para las organizaciones usuarias y minimice, por tanto, la necesidad de controles y revisiones adicionales por parte de stas. Cuanto ms precisa sea la definicin del alcance del SGSI, ms probabilidad de xito tendremos para la implementacin y mantenimiento del mismo. Por ltimo, cabe destacar que las caractersticas de la computacin en la nube posibilitan la contratacin de servicios por parte de las reas de negocio de la organizacin sin involucrar al departamento de
51
Las clusulas en los contratos se tratan en detalle en el Captulo 7 Efectos de la computacin en la nube sobre la contratacin de servicios TIC.
73
sistemas de informacin. El rea responsable de la implantacin del SGSI deber explorar la existencia de dichos casos y considerar su inclusin en el alcance. En cualquier caso, la contratacin de servicios debera ser planteada al Comit de Seguridad de la Organizacin para que evale los riesgos de dicha contratacin y considere su integracin y/o seguimiento en el SGSI.
6.4.4 Poltica de Seguridad

La organizacin deber establecer una poltica que especifique las directrices a seguir en materia de proteccin de la informacin dentro del alcance del SGSI. La aprobacin de dicha poltica es la misin ms importante de la Direccin y un hito imprescindible antes de proceder con la implantacin. Dicha poltica deber describir el contexto estratgico para la gestin de riesgos en la organizacin, incluida la aceptacin de uso de computacin en la nube; as como reflejar los requisitos legales, regulatorios y contractuales existentes. La poltica de seguridad deber ser comunicada a los usuarios de la organizacin as como a terceras partes con responsabilidades en el mbito de la seguridad de la informacin; incluidos los proveedores de computacin en la nube, los cuales debern considerar e incorporar dicha poltica para el uso de la informacin que utilicen. En el caso de proveedores implementando un SGSI, la poltica de seguridad podr ser utilizada para comunicar tanto a clientes usuarios como a otras empresas subcontratadas la estrategia y principios de proteccin de la informacin; y alcanzar por tanto un mayor grado de garanta. La poltica podr ser adaptada para cada cliente o proveedor en funcin del tipo de servicio prestado (SaaS, PaaS o IaaS) y niveles de control acordados.
6.4.5 Organizacin del SGSI

Es necesario que, tanto las responsabilidades como las funciones, que se derivan del SGSI estn adecuadamente definidas y asignadas, por ejemplo, mediante el uso de matrices RACI. En el caso de la computacin en la nube, es imprescindible definir los roles y responsabilidades de cliente y proveedor con respecto a la definicin, implantacin, mantenimiento y revisin de controles; as como, con respecto a la gestin y monitorizacin de riesgos. Por otra parte, la Direccin de la organizacin deber permanecer debidamente informada y aceptar su responsabilidad en el impulso y direccin de todas las actividades necesarias para la correcta implantacin y supervisin del SGSI; incluida la autorizacin de recursos extraordinarios cuando sea necesario. Adicionalmente, antes de comenzar la prestacin de servicios en la nube, debern definirse y acordarse la informacin requerida, canales de comunicacin y tiempos de respuesta entre proveedor y cliente(s). La informacin solicitada puede referirse a mtricas del nivel de servicio, pero tambin a datos sobre la localizacin de la informacin52 o una posible investigacin por parte de las autoridades53. Los canales de comunicacin deben ser probados peridicamente durante las operaciones.
6.4.6 Definicin y establecimiento del mtodo de evaluacin de riesgos

El adecuado control de un SGSI a lo largo de su ciclo de vida se ver determinado por el modelo elegido para el anlisis de riesgos, dado que ste ser el principal motor para la identificacin y gestin del riesgo y la subsecuente toma de decisiones. En el caso de la computacin en la nube, la metodologa seleccionada deber, al menos:
52 53
Aspecto tremendamente importante como se ha podido comprobar durante el Captulo 4. Este aspecto se trata en detalle en el Captulo 8. La obtencin de evidencias digitales en la nube.
74
Considerar las amenazas y vulnerabilidades especficas de la nube; Estar alineada con el ciclo de vida de proyectos y desarrollo de servicios de computacin en la nube; Producir resultados comparables y reproducibles, independientemente del proveedor de servicios y del tipo de servicio contratado; es muy importante la adecuada eleccin de la metodologa utilizada ya que deber ser gestionada en los aos sucesivos para producir resultados comparables. Contener aquellas medidas de seguridad especficas para computacin en la nube en la lista o catlogo base de controles; Contemplar la dependencia con respecto al proveedor (y sus empresas subcontratadas) para los procesos de identificacin, tratamiento, monitorizacin y notificacin de riesgos. Cabe enfatizar que las actividades ejecutadas por proveedores de servicios en la nube tienen impacto sobre los activos de sus organizaciones usuarias y, por tanto, no pueden considerarse como riesgos transferidos ni pueden eliminarse del proceso de evaluacin. En el caso de proveedores de computacin en la nube que estn implantando un SGSI, debern validar que su metodologa de evaluacin de riesgos est alineada con las buenas prcticas, as como con las leyes y regulaciones aplicables para cada industria y territorio. Es indispensable que la metodologa seleccionada est bien documentada y pueda ser comunicada a los usuarios cuando estos lo requieran.
6.4.7 Identificacin y valoracin de activos

Dentro del proceso de planificacin del SGSI, es necesario identificar los activos dentro del alcance, as como los propietarios de estos activos. La naturaleza abierta de la computacin en la nube dificulta este proceso, ya que la organizacin usuaria no tiene visibilidad sobre todos los activos que soportan los servicios contratados (especialmente en SaaS). En este caso, el cliente deber considerar la inclusin en el alcance de aquellos activos sobre los que tenga visibilidad directa (por ejemplo, el servicio, proveedor u aplicacin) pero no necesariamente aquellos activos que los soportan; especialmente si se hallan fuera de sus instalaciones y son gestionados por el proveedor. Por tanto, en caso de ser posible, sera recomendable, contar con un inventario de los activos del proveedor que sustentan un proceso del cliente. En caso de no poder facilitar dicha informacin, ser necesario que sea sustituido por el nivel de riesgo asociado a ese conjunto de activos, incluyendo la definicin de dicho nivel y/o los criterios utilizados para la clasificacin. Tanto proveedor como cliente deben contar con un mapa de servicios, procesos y activos. El enfoque para realizar este tipo de mapas no es diferente del que se puede seguir en otros mbitos (identificacin de procesos, actividades, etc.). Para la identificacin de procesos y activos de informacin es importante formalizar las personas consideradas como propietarios de los procesos / activos, ya que sern las responsables del correcto diseo, implantacin, operacin y mantenimiento del mismo. En especial, se deben identificar tanto los procesos responsabilidad del cliente como los del proveedor. En particular, los clientes deberan conocer aquellos procesos propietarios de los mismos que se sustenten en subprocesos del proveedor.
75
Adicionalmente, es importante conocer si los procesos del proveedor son gestionados por l mismo o si son subcontratados a otro proveedor de servicio. A continuacin se presenta, en formato de matriz RACI, una relacin no exhaustiva y a modo ilustrativo de procesos y activos de informacin que, a priori, son responsabilidad del cliente / proveedor para cada uno de los modelos de servicios en la nube (SaaS, PaaS, IaaS). No obstante, para la gestin de los activos de informacin debera establecerse en el contrato54 entre cliente y proveedor una matriz de responsabilidades al estilo de la incluida a continuacin.
Tabla 1. Roles y responsabilidades segn el modelo SPI de implantacin

Procesos Desarrollo de aplicaciones Gestin de la configuracin Gestin del cambio Gestin del parcheado Gestin de identidades Gestin de acceso lgico Cumplimiento legal y regulatorio Gestin Ciclo de Vida de la Informacin Gestin Continuidad de Negocio Gestin Incidentes de seguridad Gestin acceso fsico Activos de informacin Informacin Aplicaciones Servidores (HW) Almacenamiento Sistemas Operativos Red Sistemas de seguridad A I I I I I I R A/R A/R A/R A/R A/R A/R A A/R I* I* I* I* I* A/R A/R A/R A/R A/R R A A/R I* I* A/R I* A/R** A/R A/R** A/R A/R R SaaS I I I I A A A/R A/R A A I R R R R R R R A R R A R A A A/R A/R A/R A/R A/R A/R A/R I PaaS Cliente R A/R A A/R A/R A/R A/R A/R A/R A/R I I R R R R R R A R R A IaaS Proveedor I R R R R R R A R R A Cliente Proveedor Cliente Proveedor
R Responsable / A Aprobador / C Consultado / I - Informado I* Siempre que los cambios realizados no afecten a las condiciones contractuales y/o ANSs (Acuerdos de Nivel de Servicio), en cuyo caso el cliente deber ser consultado (C). A/R** El cliente y el proveedor sern responsables de las medidas de seguridad en funcin de su mbito de actuacin (es decir, el proveedor ser responsable de las medidas que afecten a la infraestructura compartida y el cliente del resto).
54
La contratacin de servicios se trata en detalle en el Captulo 7 Efectos de la computacin en la nube sobre la contratacin de servicios TIC.
76
Desde la perspectiva del proveedor se deber tener en cuenta que: Es importante contar con un proceso de gestin del riesgo que considere la situacin actual del riesgo de los servicios que ofrece a sus clientes. Para ello, es clave documentar, para cada servicio ofertado, los procesos que lo forman, as como sus activos de informacin y los riesgos a los que estn sometidos puesto que los mismos afectarn a los procesos de negocio del cliente. De esta forma, se podrn establecer diferentes categoras (por ejemplo: oro, plata, bronce) para los servicios ofertados en funcin del nivel de riesgo y del servicio prestado al cliente. Debe poder identificar aquellos activos que soportan, o han soportado en un momento dado, los servicios de cada uno de sus clientes, pudindose dar el caso de que un mismo activo sea compartido por varios clientes. Esta trazabilidad permitir realizar anlisis forenses en caso de ser necesario. Debe tener identificados todos aquellos procesos que hacen uso de activos de informacin de terceros e informar debidamente al cliente (en funcin de los compromisos establecidos con l). Es necesario tener en cuenta la ubicacin de las plataformas que oferta puesto que pueden encontrarse en diferentes ubicaciones geogrficas siendo la legislacin aplicable, las amenazas y sus probabilidades de ocurrencia dependientes de las mismas55. Por otro lado, el cliente, en relacin a la identificacin y valoracin de activos, debe ser consciente de que: Es importante conocer el valor de los procesos de negocio que van a ser soportados por servicios en la nube, ya que en funcin de su importancia estratgica, variarn los requisitos de seguridad a exigir, y por tanto, la categora de servicios a contratar (en cuanto al nivel de seguridad deseable). De esta forma, un cambio en los procesos de negocio que afecten a la valoracin de los mismos o de sus activos pueden conllevar la necesidad de modificar el tipo de servicios contratados para que proporcionen el nivel de seguridad adecuado al nuevo nivel de riesgo. Los inventarios de activos de los clientes debera incluir activos que acojan servicios en la nube y que estn bajo el control de proveedor. Los planes de valoracin y clasificacin deberan ser acordes. Es importante conocer si el servicio ofertado por el proveedor ser soportado por procesos y activos de un tercero. En esos casos, ser necesario examinar la gestin del riesgo por parte de dichos terceros, y exigir unos niveles acordes a la categora contratada.
6.4.8 Identificacin y valoracin de amenazas

En el contexto de una provisin de servicios en la nube, es necesario que tanto cliente como proveedor comprendan las amenazas asociadas al servicio en cuestin.
55
El efecto de la ubicacin fsica tambin es analizado en los Captulo 4, 7 y 8 en relacin a la privacidad, a los contratos y a las evidencias electrnicas en entornos de computacin en la nube.
77
De esta forma, se puede definir una amenaza en un entorno de computacin en la nube como la causa potencial de un incidente que puede causar daos en la informacin hospedada y procesada en ese entorno, o a algn elemento o conjunto de ellos que conforman el servicio. De cara a identificar las posibles amenazas que pueden incidir en un servicio en la nube es necesario contextualizar el servicio, clarificando las implicaciones de un suceso que puede afectar a los activos que conforman el servicio en detrimento de su valor para la organizacin. Esta contextualizacin permitir detectar problemas de aplicabilidad as como la identificacin de amenazas inherentes a los propios modelos de servicio en la nube y a los modelos de implantacin. Esta informacin se conforma de especial importancia como un primer elemento discriminante en la seleccin de tipologa de servicios por parte de un cliente y como una herramienta til en la elaboracin de anlisis de riesgos en dichos servicios. De esta forma, se sugieren los siguientes mecanismos para la identificacin de amenazas: Entrevistas con los propietarios de los activos, departamentos de sistemas, CIO Chief Information Officer, CISO Chief Information Security Officer y CSO Chief Security Officer. Listados y fuentes de informacin externas, de amplia difusin, provenientes de entidades internacionales con un amplio espectro (como, por ejemplo, CSA56, ENISA57, Computer Security Institute58). Listados y fuentes de informacin gubernamentales (como los CSIRTs/CERTs nacionales, NIST u otras fuentes que puedan existir a nivel nacional)59. En el presente documento se han reestructurado y complementado el listado de amenazas ms frecuentes en los entornos de computacin en la nube ya identificadas por organismos supranacionales en sus informes y trabajos colaborativos. Se han tomado principalmente dos fuentes: Cloud Computing Information Assurance Framework [ENISA, 2009] Top Threats to Cloud Computing v1.0 [CSA, marzo 2010] Teniendo en cuenta que los diversos modelos de servicio e implementacin en la nube conllevan unos riesgos inherentes, independientemente de su naturaleza, es conveniente definir la aplicabilidad para valorar el potencial de una amenaza. En este sentido, a continuacin se presenta un modelo o matriz de amenazas que introduce otro criterio como es la categora de la amenaza (organizativa, tcnica y legal), dejando a un lado aquellos aspectos o riesgos no especficos de la nube (el Anexo I incluye un anlisis ms detallado de las amenazas tcnicas):
56 57 58 59
www.cloudsecurityalliance.org www.enisa.europa.eu www.gocsi.eu Tanto en www.first.org como en www.terena.org se puede obtener una lista de CSIRTs
78
Tabla 2. Aplicabilidad de amenazas segn modelo de servicio y de implementacin

mbito de Aplicacin (Aplicabilidad) Fuente Categora Amenaza Restriccin al cambio de proveedor (lock-in) Prdida de la gobernabilidad Retos de cumplimiento Prdida de reputacin de negocio (co-tenant) Terminacin o fallo del servicio en la nube Adquisicin de proveedor en la nube Fallo en la cadena de suministro Agotamiento de recursos Fallos de aislamiento de servicios Denegacin de servicio distribuida Uso Indebido y nefasto de la computacin en la nube Interfaces inseguras y APIs Usuarios internos maliciosos Aspectos de la tecnologa compartida Prdida o fuga de datos Secuestro de servicio o cuenta Perfil de riesgo desconocido Incumplimiento de legislacin aplicable x x Modelo de Servicio Modelo de Implementacin IaaS PaaS SaaS Pblica Privada Compartida Hbrida [1] [1] [1] [1] [1] [1] [1] [2] [2] [2] Organizativa Organizativa Organizativa Organizativa Organizativa Organizativa Organizativa Tcnica Tcnica Tcnica x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x
[2]
Tcnica
[2] [2] [2] [2] [2] [2] [2]
Tcnica Tcnica Tcnica Tcnica Tcnica Tcnica Legal
x x x x x x x
x x
x x
x x x
x x
x x x x x x x x x
x x x x
x x x x
x x x x
x x x x
x x x x
[1] [ENISA, 2009] [2] [CSA, marzo 2010] 6. Sistemas de Gestin de la Seguridad de la Informacin en la nube 79
Como en cualquier entorno, para la identificacin y valoracin de amenazas es recomendable realizar agrupaciones funcionales de las que compartan caractersticas comunes (por su origen, por su motivacin), definir su aplicabilidad y la dimensin de la seguridad que se puede ver afectada y tener en cuenta que varan en funcin del tipo de organizacin y estado del arte. Adicionalmente, de cara a afrontar una identificacin efectiva de las amenazas dentro de un entorno de computacin en la nube, tanto desde una perspectiva de un cliente como del lado del proveedor, se sugieren las siguientes recomendaciones que facilitarn dicha labor: Partir de un listado de amenazas predefinidas por fuentes externas reconocidas (como las mencionadas anteriormente), teniendo en cuenta que no todas las amenazas afectan a todos los activos (lo que conlleva una simplificacin del anlisis). Tener en cuenta que las amenazas legales dependen no slo del pas de origen/residencia del cliente sino tambin de la localizacin geogrfica de la infraestructura desde la cual el proveedor le presta los servicios en la nube60. Tomar en consideracin que las amenazas varan en funcin del modelo de servicio y del modelo de implementacin.
6.4.9 Anlisis de impactos

Aunque el impacto sobre el negocio resultante de la materializacin de una vulnerabilidad en un activo se mantendr, la computacin en la nube s que afecta a la probabilidad de que se produzca. Adicionalmente, se puede dar la paradoja de que un mismo riesgo, pueda ser a la vez beneficioso o perjudicial dependiendo de si somos clientes o proveedores. Por ejemplo, con la restriccin al cambio de proveedor61, por una parte, el cliente pierde flexibilidad, pero por otra, el proveedor reduce la probabilidad de fuga de clientes por el incremento en el coste del cambio. Finalmente, tambin se da la paradoja para el cliente de que, por un lado, aumenta el riesgo por la concentracin de la informacin, pero por otro, tambin disminuye por la simplificacin de la adopcin de controles sobre la misma. Usando como base el documento de ENISA sobre evaluacin de riesgos en la nube [ENISA, 2009], se incluyen en el Anexo II, tablas comparativas de impactos sobre proveedor y cliente, junto a algunas orientaciones para reducirlos.
6.4.10 Seleccin de objetivos de control y controles

Dentro de esta fase de planificacin del SGSI, debern seleccionarse los objetivos de control y controles aplicables al alcance. Dichos controles representarn las medidas, tanto tecnolgicas como organizativas o de otro tipo, que sern consideradas para el tratamiento de riesgos durante la fase de implantacin. La lista de controles seleccionados (o Declaracin de Aplicabilidad) podr indudablemente ser actualizada en base al resultado del anlisis de riesgos y su posterior plan de tratamiento. Para la seleccin de controles en el contexto de computacin en la nube, referimos al lector al estndar de referencia ISO 27002 as como a la matriz de riesgos [CSA, diciembre 2010]. La seleccin deber tambin tener en cuenta los requerimientos legales, regulatorios y contractuales existentes62.
El efecto de la aplicacin geogrfica en la contratacin se estudia en el Apartado 7.9. Ley aplicable y jurisdiccin. Del trmino en ingls, lock in. 62 Estos aspectos son analizados ms detalladamente en los Captulos 4, 5 y 7.
60 61
80
6.5 Fase II. Implantacin y operacin del SGSI
Ilustracin 5. Etapas de la Fase II

Evaluacin Riesgo Plan Accin Normativa Bsica Controles Principales
Aunque no es un requerimiento del estndar ISO 27001, es habitual que las organizaciones se apoyen en herramientas de gestin que proporcionen soporte, tanto para el establecimiento como para el mantenimiento continuado del SGSI. En el caso de la computacin en la nube, dicha herramienta puede contribuir a automatizar el intercambio de informacin con los proveedores como, por ejemplo, la relativa a incidentes de seguridad, seguimientos de acuerdos de nivel de servicio, etc. En caso de que se vaya a utilizar una herramienta de este tipo, su instalacin conviene que sea realizada durante esta fase de la implantacin del SGSI para contar desde el inicio con su asistencia y establecerse como principal herramienta gestora de forma intuitiva.
6.5.1 Evaluacin del nivel de riesgo

Al igual que en cualquier anlisis de riesgos, una vez identificados y valorados los activos, las amenazas y los impactos es necesario valorar el nivel de riesgo existente, plasmndose los resultados en un mapa de riesgos. Dicho mapa de riesgos se confeccionar en funcin de la metodologa utilizada por cada organizacin (que deber ser homognea en el tiempo para permitir su comparacin evolutiva) y ofrecer, en cualquier caso, unos niveles de riesgo por activo (o agrupacin de activos) y por amenazas (o tipo de amenazas), ya sea de manera cuantitativa o cualitativa. Al margen de otras consideraciones, en los entornos de computacin en la nube es importante que cliente y proveedor de los servicios sean conocedores de los niveles de riesgo de ambas partes. El cliente deber conocer los niveles de riesgo que suponen los servicios ofrecidos en la nube y el proveedor deber ser conocedor de los niveles de riesgo que el cliente est dispuesto a aceptar, en funcin de la relacin de dichos servicios con sus procesos de negocio y el anlisis realizado. Para ello, es bsico que cliente y proveedor acuerden un lenguaje comn que les permita comprender las clasificaciones y niveles de riesgo utilizadas por la otra parte. Adicionalmente, tambin deber existir transparencia en cuanto a las estrategias de gestin del riesgo empleadas por ambas partes, de forma que se eviten posibles faltas de alineamiento en la evolucin futura de los niveles de riesgo.
6.5.2 Plan de Accin

Los planes de accin tienen las mismas caractersticas que en cualquier otra implantacin de un SGSI (parten de los riesgos identificados en la fase anterior, son acordes a la disposicin presupuestaria) incluyendo la agrupacin de los proyectos necesarios a desarrollar para la implantacin de los controles identificados en la Fase anterior, y que debern de ser abordados de forma planificada.
81
En el caso de computacin en la nube, dicho Plan de Accin deber de ser sincronizado entre la empresa proveedora y su cliente para conseguir una adecuada evolucin e implantacin de los controles, que de otra manera no se podra realizar. Es fundamental establecer hitos de seguimiento y revisin por cada proyecto realizado para comprobar que, durante todo el flujo de informacin entre las dos partes, se respetan escrupulosamente las medidas de controles establecidas en el documento de aplicabilidad de los controles. El plan de Accin resultante de una compaa usuaria de servicios en la nube deber considerar a su proveedor para evitar caer en posibles contradicciones o retrasos en la implantacin de las medidas de control seleccionadas.
6.5.3 Desarrollo Normativo Bsico

El Desarrollo Normativo Bsico constituir el marco de referencia base para el SGSI, y estar basado en la ISO 27002 pudiendo incorporar los elementos que se consideren necesarios de otras fuentes, como, por ejemplo, la matriz de controles [CSA, diciembre 2010]. La premisa fundamental que se aplica es que no se puede exigir nada a ningn usuario que no se haya establecido previamente, y es precisamente mediante el establecimiento de este marco el que posibilitar este hecho. Dicho marco normativo bsico debera de incluir, segn nuestro criterio, los siguientes documentos: Normas de seguridad de la informacin. Partiendo de la Poltica de Seguridad de la Organizacin que establece las directrices que deben seguirse, las normativas de Seguridad desarrollan el qu se debe hacer para conseguir alcanzar los objetivos de la Organizacin. Son fundamentales para la prestacin de servicios en la nube pues suponen el punto de partida para la definicin de los requerimientos de seguridad que debe cumplir dichos servicios. Plan de concienciacin de seguridad de la informacin. Procedimientos de clasificacin de la informacin y de control y gestin de la documentacin. Es necesario ser cautos en cuanto a los mbitos en los que circular la informacin para cerciorarse, no slo de las medidas extras que se deben de poner en funcin del tipo de servicios en la nube contratado, sino adems, si dicha empresa contratada podra soportar dichos requisitos. Procedimiento de gestin de incidencias de seguridad de la informacin. Un documento fundamental en cualquier implantacin pero que cobra especial importancia a la hora de definir el mtodo y los participantes de ambas organizaciones en la gestin eficaz y eficiente de la incidencia y sus posibles repercusiones. Procedimientos de las auditoras necesarias dentro de la Organizacin. Establecern el proceso de auditora interna que deber de implantar la Organizacin, as como la necesidad de crear los mecanismos de colaboracin mutua en funcin de las especificaciones que se hayan establecido en los acuerdos de nivel de servicio y del contrato entre el cliente y el proveedor del servicio en la nube. Procedimiento de control de acceso fsico.
82
Procedimiento de gestin de licencias de software. En el entorno de computacin en la nube y dado que es fundamental aclarar dichos aspectos por contrato, es fundamental definir claramente los procedimientos de gestin de licencias63. Identificacin de la legislacin/normativa vigente aplicable. En funcin del tipo de servicio en la nube contratado, el sector en el que se ubica la Organizacin demandante y el mbito geogrfico es necesario identificar todos aquellos marcos regulatorios aplicables, as como los procedimientos de identificacin establecidos para la identificacin de los nuevos64. Plan de Recuperacin de Desastres y de Continuidad de Negocio.
6.5.4 Implantacin de los Controles Principales

Derivado del marco normativo gestado anteriormente, ser necesario controlar claramente, qu controles se estn incluyendo en cada documento concreto, qu registros se debern generar para poder realizar la revisin de la evolucin del control correspondiente y quin es el responsable de cada tarea. Este aspecto es fundamental dado que es imprescindible establecer los registros que se deben de revisar, as como asegurar el ciclo de vida de los mismos. Adems es necesario definir los indicadores que permitirn realizar la valoracin del estado de implantacin y madurez del propio SGSI, dichos indicadores sern complementarios a los ya incluidos en los controles procedentes del repositorio utilizado, matriz de controles [CSA, diciembre 2010] o ISO 27002, y su fin ser medir el estado de implantacin del SGSI en la Organizacin. Es importante destacar el papel de todos los integrantes de la Organizacin en esta actividad, puesto que la implantacin de los controles, y en consecuencia del mantenimiento de los registros, estarn cada una de las reas involucradas.
6.6 Fase III. Seguimiento y mejora del SGSI 6.6.1 Desarrollo e implantacin de la normativa
El desarrollo normativo consistir, como en cualquier SGSI, en una serie de documentos exhaustivos con las especificaciones tcnicas de los controles de seguridad necesarios para la Organizacin sobre la base de la Declaracin de Aplicabilidad aprobada. Esta fase se representa de forma independiente al Desarrollo Normativo Bsico (apartado 6.5.3) para simbolizar la continuacin de la implantacin de controles, as como a la definicin de indicadores para la valoracin de su estado de implantacin y efectividad. Dicha implantacin estar planificada, segn se especifique en el Plan de Accin.
63
64
Este aspecto es uno de los analizados con detalle en el Captulo 7. Efectos de la computacin en la nube sobre la contratacin de servicios TIC. Los aspectos relacionados con el cumplimiento normativo se han analizado en los Captulos 4 y 5 previos.
83
Ilustracin 6. Etapas de la Fase III

Implantacin Normativa Auditora interna
Certificacin
Seguimiento y monitorizacin
Mejora continua
Comunicacin y divulgacin
6.6.2 Seguimiento y monitorizacin

Una vez definidos, documentados e implantados los controles, deber procederse a su monitorizacin sistematizada mediante el uso de mecanismos de seguimiento (por ejemplo con indicadores). El objetivo es la deteccin de problemas en su diseo y efectividad, posibilitando la identificacin de mejoras en el SGSI. El seguimiento de los controles puede realizarse mediante una herramienta de gestin del SGSI que, debidamente configurada, podra proporcionar la informacin necesaria para seguir la evolucin de los controles as como informar sobre incidentes de seguridad. En el caso de computacin en la nube, deber obtenerse por parte del proveedor una garanta independiente sobre la implantacin de los procesos de seguimiento y mejora de controles (por ejemplo, auditoras de terceros y/o informes del auditor de servicios). El resultado de dichos procesos deber comunicarse y ser analizado por el cliente usuario de los servicios en la nube. Se debern definir las responsabilidades y los flujos de comunicacin ante cambios e incidencias, teniendo en cuenta que dichas responsabilidades dependen del modelo SPI de implantacin de los servicios en la nube.
6.6.3 Mejora Continua

El SGSI ha de estar sujeto a una mejora continua, para lo cual es necesario efectuar una debida gestin y seguimiento de los controles del SGSI. Dicha mejora continua debe ser establecida por los responsables del sistema, asegurando que se consideran todos los aspectos definidos en los puntos anteriores. En el caso de computacin en la nube ser necesario establecer una adecuada comunicacin entre cliente y proveedor, as como un mecanismo conjunto de decisin respecto a la modificacin e incorporacin de nuevos controles para mantener el nivel de riesgo deseado.
6.6.4 Auditora interna del SGSI

La norma ISO 27001 exige la realizacin de auditoras internas sobre el SGSI. Se recomienda que los incumplimientos con dicha norma sean considerados como no conformidades mayores, menores u observaciones, tal y como especifica el criterio utilizado por las entidades de certificacin.
84
Las auditorias son especialmente relevantes en el caso de computacin en la nube (sea cual sea su tipo, SaaS, IaaS o PaaS) debido al papel que desempean como garanta independiente para clientes usuarios. Adems de la ejecucin de auditoras, el cliente deber asegurar una adecuada colaboracin con el proveedor y la correccin de las no conformidades detectadas. Para ello resulta fundamental la relacin contractual entre ambas partes65.
6.6.5 Certificacin del SGSI

La organizacin, si as lo desea, podr efectuar la auditoria de su SGSI por parte de una Autoridad Certificadora. Para obtener el certificado, el SGSI deber cumplir con todos los requisitos de la ISO 27001, as como haber considerado aquellos controles aplicables de la ISO 27002, sin desfavorecer a estndares relevantes como la matriz de controles [CSA, diciembre 2010].
6.6.6 Comunicacin y Divulgacin

Como parte del proceso de mejora y seguimiento del SGSI, es necesaria una presentacin regular a la Direccin sobre el proceso de seguimiento y mejora llevado a cabo y los resultados obtenidos, as como la evolucin de los indicadores existentes. Este aspecto formar parte del mantenimiento del SGSI y se ejecutar al menos de forma anual. En el caso de computacin en la nube ser necesario establecer unos canales adecuados de comunicacin entre cliente usuario y proveedor para identificar las mejoras requeridas en el servicio, y las posibles modificaciones el contrato, con el objetivo de formalizar el firme compromiso de mejora continua establecido entre ambas organizaciones.
6.7 Conclusiones
A modo de conclusiones generales de este captulo en el que hemos tratado las particularidades de la implantacin de un SGSI en un entorno de computacin en la nube, podramos decir que el establecimiento de un SGSI, tal y como establece el estndar ISO 27001, est basado en el principio PDCA de mejora continua. Y que este principio sigue siendo aplicable en el caso de la computacin en la nube, as como el modelo general para el establecimiento, implementacin, operacin, supervisin, revisin, mantenimiento y mejora de un SGSI definidos en dicho estndar. Por tanto, si debiramos resaltar algo respecto a los SGSIs en los entornos de computacin en la nube sera que no cambian en el fondo, pero s en la forma: Es imprescindible establecer mecanismos de comunicacin fluidos entre cliente y proveedor, as como, definir un lenguaje comn en el que entender dichas comunicaciones. Esta comunicacin afecta desde el comienzo de la definicin del SGSI y contina a lo largo de toda la implantacin y operacin posterior. El ejemplo ms claro lo tendramos en el caso de SGSIs encapsulados en los que los sistemas de gestin de una de las partes est incluido en el sistema de gestin de la otra a modo de envoltorio.
65
Para un anlisis detallado de este tema consultar el Captulo 7. Efectos de la computacin en la nube sobre la contratacin de servicios TIC.
85
Los alcances certificados cobran una importancia extraordinaria pues son la forma en la que el proveedor informa al cliente sobre el o los entornos en los que aplicar el mencionado sistema de gestin. La definicin clara de responsabilidades y roles en lo relativo al SGSI, considerando que puede aplicar a usuarios de distintas organizaciones es bsico que se aborde lo ms temprano posible durante el proceso de definicin del SGSI. En lo relativo a todas las etapas necesarias para realizar un anlisis de riesgos, la comunicacin tambin es pieza clave, pues permite a las partes tener un lenguaje comn en el que entenderse y definir los niveles de riesgos globales. Los aspectos que podramos considerar ms diferentes respecto a sistemas tradicionales seran los relacionados con: La valoracin de activos y de amenazas, puesto que son responsabilidad de distintos propietarios que deben coordinarse y entenderse. Normalmente, el cliente deber conocer los niveles de riesgo que est dispuesto a asumir en funcin de la relevancia del activo y, por otra parte, el proveedor, debe conocer los niveles de riesgo que su operacin de las tecnologas de la informacin y las comunicaciones (TIC) supone para sus clientes. Cierto tipo de amenazas muy caractersticas de la computacin en la nube que implican nuevos riesgos en este tipo de entornos. El seguimiento, la monitorizacin y la auditora, puesto que lo que antes se realizaba, con mayor o menor dificultad, dentro de la organizacin, ahora hay que ser capaz de seguir haciendo pero, considerando que probablemente, los activos y los procesos de negocio ya no pertenecen a la misma organizacin y es necesario entenderse con un tercero independiente de mi SGSI.
86
Efectos de la computacin en la nube sobre la contratacin de servicios TIC
7.1 Introduccin
La computacin en la nube es un modelo de provisin de servicios de TIC cuya configuracin por las partes en una relacin B2B Business to Business, es en principio libre, en virtud de la autonoma de la voluntad que rige la contratacin. No obstante, dependiendo del tipo de organizacin contratante y de la informacin que se vea involucrada en el mbito de los servicios, es muy probable que existan requerimientos legales y regulatorios especficos, que deban ser tenidos en cuenta en el diseo del marco contractual que rija la relacin de prestacin de servicios. Estos requerimientos legales y regulatorios lgicamente variarn dependiendo de factores como la ubicacin geogrfica y el sector de actividad de la entidad contratante o usuaria, entre otros, o simplemente dependern de su participacin en un mercado concreto. Algunos ejemplos los encontramos en Sarbanes Oxley, HIPAA, GLBA, PCI DSS, Esquema Nacional de Seguridad, Basilea o Solvencia, entre otras. Asimismo, en caso de que los servicios en la nube impliquen el tratamiento de datos de carcter personal (lo cual sucede en la mayora de los casos) entran en juego las normas que regulan la privacidad y la proteccin de datos de carcter personal aplicables al cliente o usuario del servicio y/o al proveedor, y que varan en funcin de la jurisdiccin en la que se encuentren, respectivamente66. Como punto de partida para la contratacin, la organizacin contratante deber conocer muy bien sus obligaciones. Sin ello, no ser posible cumplirlas y menos an, trasladarlas a un proveedor de servicios en la nube mediante un contrato. Estas obligaciones pueden provenir de distintas fuentes, a saber: Externas (generales y obligatorias): Se refieren al derecho positivo de un pas y ataen al conjunto de normas jurdicas escritas que aplican a la entidad contratante, fundamentalmente, en virtud de su localizacin o de su sector de actividad. Internas: Normas y polticas corporativas de obligado cumplimiento para la organizacin (voluntarias). En muchos casos, estas normas y polticas ordenan la adopcin de estndares existentes (por ejemplo, ISO 27001). Obligaciones contractuales (particulares) adquiridas por la organizacin.
66
El impacto de la legislacin en materia de proteccin de datos personales ha sido analizado en el Captulo 4.
7. Efectos de la computacin en la nube sobre la contratacin de servicios TIC
88
Como resultado del anlisis de los requisitos de cumplimiento a los que est sometida la organizacin, se podr determinar: La informacin susceptible de ser trasladada a la nube por no existir impedimento legal, normativo o contractual alguno para ello. El tipo de despliegue de servicios en la nube que se deber utilizar con relacin a cada tipo de informacin, o en su caso, qu tipo de despliegue conviene utilizar. Por ejemplo, si una entidad del sector sanitario establecida en territorio espaol desea tratar datos clnicos de sus pacientes en la nube, debera asegurarse de que el proveedor tenga la capacidad necesaria para cifrar el trfico de dichos datos. En algunos casos, puede que los costes de la implantacin de ciertas medidas o controles de seguridad exigidos por la normativa, minimice o elimine el beneficio de ahorro de costes que se asume como inherente a las soluciones de computacin en la nube. Finalmente, los requisitos que deber exigir al proveedor mediante contrato, en aras del cumplimiento de la organizacin en la nube. Una vez que el proveedor tenga determinadas sus obligaciones, deber analizar los riesgos especficos que supone dar el salto a la nube. En este sentido, es importante determinar la extensin geogrfica o en otras palabras, el lugar de la ubicacin de la infraestructura ya que la localizacin de los activos de informacin en determinadas jurisdicciones podra suponer un incremento de la carga regulatoria para la organizacin. As mismo, se debe evitar que los activos de informacin se alojen en pases con panoramas polticos o regulatorios inestables. Mientras que en las nubes privadas y comunitarias este problema es fcilmente abordable, el mayor reto se presenta con relacin a las nubes pblicas e hbridas. En el caso de las pblicas e hbridas, el cliente deber conocer, en primer lugar, dnde se podran tratar potencialmente los datos, es decir dnde estn los centros de proceso de datos del proveedor y, tras conocer del ambiente poltico y regulatorio existente u otras amenazas existentes (p.e. si es un lugar ssmico), deber analizar los riesgos que supondra la prestacin del servicio en esas condiciones. En cualquier caso, resulta fundamental establecer dnde se podrn tratar potencialmente los datos por parte del proveedor, determinando una lista blanca de pases autorizados. En otro orden de ideas, la organizacin debe tener garantas de que va a poder responder en tiempo y forma a los requerimientos de las autoridades administrativas y/o jurisdiccionales, que afecten a sus activos de informacin, por lo que es conveniente articular plazos y mecanismos de respuesta ante dichos requerimientos, que permitan al cliente cumplir con eventuales exigencias de dichas autoridades.
89

Este captulo, dedicado a analizar la contratacin de servicios en la nube se ha estructurado entorno a los aspectos ms relevantes que se han de tomar en consideracin para la elaboracin de dichos contratos (Ilustracin 7): Mecanismos de resolucin de conflictos Confidencialidad Propiedad intelectual Responsabilidad Resolucin anticipada Privacidad y proteccin de datos Ley aplicable y jurisdiccin Auditabilidad Seguridad Acuerdos de Nivel de Servicio
Estos aspectos se han agrupado dentro de un mismo apartado para facilitar su localizacin y consulta en el presente documento. Finalmente, se ha incluido tambin un apartado que resume las recomendaciones ms importantes de las proporcionadas en el anlisis de los aspectos mencionados.
Ilustracin 7. Elementos de la contratacin

Privacidad y proteccin de datos
Resolucin anticipada
Responsabilidad
Ley aplicable y jurisdiccin
Propiedad Intelectual
Contratacin
Auditabilidad
Confidencialidad
Seguridad
Mecanismos de resolucin de conflictos
Acuerdos de Nivel de Servicios
90
7.3 Mecanismos de resolucin de conflictos

La deslocalizacin de servicios y la consecuente concurrencia de jurisdicciones intervinientes apuntan a la necesidad de definir contractualmente una ley y una jurisdiccin aplicable. En este sentido, articular mecanismos de resolucin de conflictos puede ser de gran utilidad, mxime teniendo en cuenta que la administracin de justicia, en muchos casos, no cuenta con la celeridad y el nivel de especializacin deseable y necesario para la resolucin de conflictos en el mbito tecnolgico. Dadas las caractersticas de la computacin en la nube y teniendo en cuenta que es muy probable que las partes contratantes y los elementos del servicio estn en jurisdicciones diferentes, el arbitraje tecnolgico es una buena opcin a considerar como mecanismo alternativo para la resolucin de conflictos.
7.4 Confidencialidad
La contratacin en la nube exige en muchas ocasiones al prestador de servicios guardar la confidencialidad, no slo de los datos o contenidos que el cliente aloja en sus servidores o que desarrolla en dicho entorno, sino el hecho mismo de la contratacin. Dicha obligacin de confidencialidad debe vincular, adems de al propio prestador del servicio en la nube, tambin a sus empleados y/o colaboradores, respondiendo el proveedor de la actuacin negligente o dolosa de stos. En este sentido, es relevante que el acuerdo de prestacin de servicios que suscriba quien desea acceder a la nube incorpore esta previsin, haciendo expresa referencia a que el trmino Informacin Confidencial sea lo ms amplio posible, de tal manera que englobe toda la informacin referente al cliente, sus filiales o empresas de grupo, incluyendo los programas y las partes integrantes de dichos programas, sus procedimientos de desarrollo e implantacin, su know-how, estructura interna, organizacin empresarial, planes de negocios, informacin financiera, documentacin, diseos, invenciones, tecnologa, precios, ventas, y en general, toda la informacin a la que eventualmente pudiera tener acceso el prestador del servicio con causa en el contrato. De esta manera se cierran las eventuales salidas o vas de escape que el prestador del servicio pudiera tener en materia de responsabilidad en caso de incumplimiento. Otro de los puntos clave a tener en cuenta en materia de confidencialidad es la limitacin de los supuestos en los que el prestador del servicio podr revelar la informacin a terceros. Aunque la jurisdiccin especfica que vaya a regir el contrato podr contener previsiones especficas en este sentido, resulta conveniente limitar la revelacin de datos a efectos de cumplir obligaciones legales o de requerimientos de autoridades competentes. En todo caso, de proceder, la revelacin de datos o informacin ha de ser la mnima necesaria para cumplir con cualesquiera obligaciones legales o requerimientos. Igualmente, un dato a tener en cuenta en los supuestos en los que el tipo de informacin que se desea alojar en la nube sea extremadamente sensible para la organizacin es la posibilidad de exigir al proveedor del servicio que despliegue algn tipo de tecnologa que tenga como objetivo identificar, monitorizar y proteger los datos alojados, como, por ejemplo, sistemas de prevencin de fuga de datos o cualesquiera otros que cumplan tal fin. Asimismo, el establecimiento de medidas de seguridad en el acceso a datos por parte de empleados del prestador del servicio en la nube debe ser acotado y garantizado en funcin del tipo de informacin alojada, debiendo prever el contrato el control y trazabilidad en el acceso a informacin por aquellos.
91
Por ltimo, y en consideracin de los eventuales conflictos que pudiesen surgir, el cliente deber exigir al proveedor del servicio la incorporacin de una previsin que obligue a indemnizar al cliente por todos los daos de cualquier tipo causados, incluyendo los correspondientes gastos y costes y, de ser posible, la prefijacin de clusulas penales por tal concepto.
7.5 Propiedad Intelectual

Otro de los aspectos clave de la computacin en la nube es el relativo a la propiedad intelectual, entendida sta en su acepcin anglosajona, esto es, como disciplina formada por derechos de autor y derechos afines, pero tambin aglutinadora de lo concerniente a marcas, patentes y diseo industrial. La regulacin de la propiedad intelectual en la nube y, en particular, las premisas que deben ser tomadas en consideracin a la hora de contratar, apenas difieren de su regulacin ms tradicional, si bien es cierto que esta modalidad presenta una serie de particularidades en funcin del modelo concreto de servicio por el que se opte (IaaS, PaaS o SaaS). IaaS. En la medida que este modelo permite utilizar recursos de hardware de un proveedor en forma de servicio, de manera que el cliente puede adquirir recursos hardware como si se tratara de servicios externalizados, resulta necesario fijar en el acuerdo que, tanto los resultados finales obtenidos por el cliente, como cualesquiera evoluciones parciales de los mismos son titularidad exclusiva del cliente, sin que corresponda al proveedor derecho de explotacin de ningn tipo sobre los mismos, al igual que no corresponde al cliente derecho alguno sobre el hardware, ms all de la propia prestacin del servicio. PaaS. Esta modalidad provee al cliente con todos los componentes necesarios para la creacin de aplicaciones informticas desde la nube, ofreciendo un servicio que normalmente integra un entorno de desarrollo y una interfaz de programacin de aplicaciones, ofreciendo aquellas funcionalidades necesarias para que los diseadores de software puedan desarrollar aplicaciones web y otras funcionalidades que se ejecuten en su plataforma. En materia de propiedad intelectual y sin perjuicio de que el entorno de desarrollo y la interfaz de programacin de aplicaciones ser, en todo momento, titularidad del proveedor, el contrato debe reflejar que el software desarrollado por el cliente le pertenece en su totalidad sin que el servicio prestado al cliente en ningn caso pueda generar derechos a favor del proveedor, ni econmicos ni de otro tipo. SaaS. Esta modalidad es, posiblemente, una de las cuestiones ms complejas de regular en materia de propiedad intelectual. Resulta muy complicado, en un entorno en el que se ofrece al cliente el consumo de gran variedad de aplicaciones proporcionadas por el proveedor del servicio y que se ejecutan en la infraestructura en la nube, discernir entre el servicio prestado y que es susceptible de generar derechos y el contenido creado por el propio cliente. En todo caso, con carcter comn a todo este tipo de servicios, el proveedor debe asumir que el acceso al contenido generado por el cliente, as como la reproduccin, copia, modificacin, comunicacin pblica, distribucin y cualquier otro tipo de cesin sobre el mismo constituye una infraccin de la propiedad intelectual del cliente, previsto como tal en el derecho internacional y las leyes que resulten aplicables. Asimismo, el acceso no consentido por el proveedor del servicio a determinados datos supondra una vul-
92
neracin del secreto de las comunicaciones en los supuestos en los que el servicio contratado en la nube tenga como contenido la provisin de comunicaciones entre usuarios. En este sentido, el contrato ha de reflejar que la propiedad intelectual sobre cualesquiera contenidos generados por el cliente o que ste pueda compartir en la nube (incluida documentacin comercial, cdigos, as como cualquier otro elemento relacionado o derivado de aqullos) pertenecer en todo momento al cliente, reteniendo ste la plena titularidad sobre los mismos, no estando facultado el proveedor para su utilizacin de ningn modo. Por tal motivo, el acuerdo no implicar en ningn caso la cesin de ningn derecho de propiedad intelectual a favor del proveedor, que ha de comprometerse a no copiar, plagiar, reproducir, ceder ni transmitir a terceros, parcialmente o en su totalidad, en ninguna forma ni por ningn medio.
7.6 Responsabilidad
Si existe un aspecto clave en todo contrato, adems del referido a las propias obligaciones asumidas por las partes, ste es el de la responsabilidad. Por este motivo, y a salvo de aquellas cuestiones que puedan quedar fuera del mbito de control o voluntad del prestador del servicio, ste ha de hacerse responsable frente al cliente de cualesquiera daos o perjuicios o de cualquier reclamacin que pudiera surgir o que traiga causa en la suscripcin del contrato. Por tal motivo, el prestador del servicio deber asumir y mantener indemne al cliente de cualquier dao o perjuicio sufrido. Uno de los puntos conflictivos en materia de responsabilidad es el referido a la concreta ley aplicable que rige el contrato. En caso de contratos sometidos a legislacin de corte anglosajn, son frecuentes las limitaciones de responsabilidad de los prestadores de servicio y, en particular, la determinacin de una cantidad econmica normalmente fijada en la cuanta desembolsada por el cliente en la contratacin de la prestacin del servicio-. Dichas previsiones son normalmente contrarias a las legislaciones de corte continental, las cuales permiten la limitacin por negligencia pero no por culpa o dolo. La incorporacin de una de estas previsiones en supuestos en los que el contrato est sometido a una legislacin de corte continental, devienen en nula dicha previsin.
7.7 Resolucin anticipada

Sin perjuicio de las mltiples variantes que pueden influir en la estipulacin de resolucin anticipada, que debe figurar de manera obligada en cualquier contrato (tenga o no su base en la nube) consideramos relevante apuntar los siguientes datos a modo de recomendacin de mejores prcticas. Con carcter general es recomendable que el cliente tenga una salida67 en el contrato que le permita salirse del mismo sin necesidad de alegar justa causa, mediante el envo de un preaviso. Esta previsin es absolutamente relevante en contratos que tienen como sustento la tecnologa porque lo que, en una fecha puede ser apto para las necesidades del cliente, pude no serlo tanto en un futuro relativamente cercano.
67
Del ingls, way out.
93
Lo anterior es lo deseable, pero no siempre resulta posible. Por tal motivo, es recomendable asegurar que la resolucin anticipada del contrato sin causa no suponga un perjuicio econmico inasumible para el cliente en caso de que, por cualquier motivo, sea su deseo resolver anticipadamente el contrato. En este sentido, identificar cualquier penalizacin o exigencia de pago ntegro del servicio es crucial, a efectos de eliminarla del contrato cuando sea posible o, en caso contrario, asumir el riesgo implcito en ello. Sin perjuicio de lo anterior, en servicios en la nube, al objeto de garantizar la disponibilidad de acceso a la informacin por el cliente en todo momento, incluso en el momento de la extincin de la relacin, resultara necesario que el proveedor estuviese contractualmente obligado a cooperar en el marco de una migracin de datos a la nueva infraestructura que indique el cliente.
7.8 Privacidad y proteccin de datos68

La clusula de proteccin de datos se ha convertido, sin lugar a dudas, en uno de los elementos clave de todo contrato en el que se regulen servicios relacionados con el tratamiento de informacin. Y ello por un motivo sencillo: prcticamente todas las compaas cuentan con ficheros con informacin personal entre sus activos intangibles, que se ven afectados por las legislaciones en materia de privacidad y proteccin de datos de carcter personal, especialmente estrictas en Europa. Son varios los factores que deben ser tenidos en cuenta antes de decidir el salto a la nube. El primero, y ms importante, es determinar cul es el rol del cliente desde el punto de vista del tratamiento de este tipo de datos: Si tiene capacidad de decisin sobre la finalidad, el contenido y el uso de la informacin, la empresa ser considerada responsable del tratamiento. Si carece de dicha capacidad, y se limita a tratar los datos personales por cuenta de un tercero en el marco de la prestacin de un servicio, hablaremos de un encargado del tratamiento. Pues bien, slo los responsables del tratamiento pueden tomar la decisin de enviar su informacin a la nube libremente. En lo que a los encargados se refiere, la situacin es mucho ms compleja, puesto que la posibilidad de saltar a la nube depender de los pactos previstos en materia de subcontratacin en el contrato de prestacin de servicios que haya firmado con el responsable, y de la normativa a la que quede sometido el tratamiento de datos, que no siempre ser la nacional. Determinado este rol, ser tambin necesario conocer el papel correspondiente al proveedor de servicios en la nube. Partiendo de la base de que dicho prestador es una empresa distinta del cliente, con el que se establecer un contrato de servicios B2B. De este modo, y con independencia del rol del cliente, el proveedor ser considerado encargado del tratamiento, circunstancia que se deber hacer constar en el contrato de prestacin de servicios. Dependiendo de la normativa a la que se encuentre sometido el tratamiento de datos (que, por regla general, suele ser la correspondiente al responsable del tratamiento), el contrato de prestacin de servicios podr ver condicionado su contenido por una serie de obligaciones especficas. Obligaciones que pueden
68
Este tema se aborda en este captulo de manera muy general puesto que ha sido analizado con detalle en el Captulo 4.
94
verse ampliadas en caso de que los centros de proceso de datos empleados por el proveedor de servicios en la nube se encuentren situados en el extranjero; y ello porque es habitual que las legislaciones de proteccin de datos incluyan restricciones a las transferencias internacionales de datos personales. Ante la imposibilidad de analizar todos los regmenes jurdicos vigentes, se analizar a continuacin el caso de la legislacin espaola, una de las ms detalladas, que regula el contenido mnimo del contrato en la LOPD, y en concreto en su artculo 12; as como en los artculos 21 y 22 de su Reglamento de desarrollo: Debe establecer que el proveedor de servicios en la nube, nicamente tratar los datos siguiendo las instrucciones del responsable del tratamiento. Debe recoger las finalidades del tratamiento de datos (que, como regla general, coincidirn con el objeto del contrato), y que no se aplicarn ni utilizarn los datos para ninguna finalidad distinta a la prevista. Debe figurar el nivel de seguridad aplicable a los ficheros, conforme a la clasificacin prevista en el artculo 81 del Reglamento de desarrollo de la LOPD; as como las medidas de seguridad que lleva aparejadas, que sern de obligada implementacin para el proveedor de servicios en la nube. Debe aclarar que no se comunicarn los datos a otras personas, ni siquiera para su conservacin. Sin perjuicio de lo anterior, y teniendo en cuenta que en la prestacin de estos servicios se utilizan servidores alquilados (hosting) o ubicados en instalaciones de terceros (housing), es altamente recomendable que la clusula incluya un apartado en el que se especifique: o Que la informacin puede ser almacenada y procesada en servidores que pertenezcan a o que estn ubicados en terceras empresas, nicamente por motivos tcnicos. o Que el tratamiento realizado por dichas terceras empresas se ajustar en todo caso a las instrucciones del responsable del fichero. o Que el proveedor de servicios de computacin en la nube se compromete a formalizar contratos con todas las terceras empresas que presten servicios conforme al artculo 12 de la LOPD. Debe dejarse constancia, finalmente, que en caso de que se rescinda el contrato, por cualquier causa, los datos de carcter personal debern ser destruidos o devueltos al responsable del tratamiento, salvo en aquellos casos en los que una previsin legal exija o permita su conservacin, en cuyo caso se conservarn debidamente bloqueados. Sin embargo, la firma de una clusula que incluya todos los contenidos anteriormente citados no resulta suficiente en la prctica para evitar posibles sanciones. El responsable del tratamiento, igualmente, deber velar por que el encargado del tratamiento rena las garantas para el cumplimiento de la legislacin vigente, lo que se traduce en una doble obligacin: elegir un proveedor de servicios adecuado, y asegu-
95
rarse de que cumple con la ley. Teniendo en cuenta la dificultad que esto entraa en la prctica, se hace recomendable aadir dos apartados ms a la clusula que nos ocupa: Uno en el que el proveedor de servicios declare reunir las garantas suficientes para cumplir la legislacin vigente en materia de proteccin de datos y, en especial, en relacin con las medidas de seguridad tcnicas y organizativas aplicables a los tratamientos a efectuar. Otro en el que se prevea la posibilidad de que el responsable de seguridad verifique el cumplimiento de la legislacin, y que se debe poner en relacin con la clusula relativa a auditabilidad, que veremos ms adelante. Por otra parte, y en el probable caso de que todos o parte de los servidores utilizados por el proveedor de servicios de computacin en la nube se encuentren ubicados fsicamente en Estados ajenos al Espacio Econmico Europeo, deber tenerse en cuenta el rgimen de transferencias internacionales de datos previsto en los artculos 33 y siguientes de la LOPD. Si adems, el Estado de destino no est reconocido como adecuado por la Comisin Europea o por la Agencia Espaola de Proteccin de Datos, puede ser necesaria la solicitud de una autorizacin al Director de dicha Agencia. Un proceso que, dependiendo de las circunstancias, puede llegar a ser largo y tedioso, a pesar de la existencia de una serie de clusulas contractuales tipo aprobadas por la Comisin Europea que han contribuido a su simplificacin. Por ltimo, y como apartado adicional, y en caso de que las partes acuerden que sea el proveedor de servicios en la nube quien realice la llevanza del documento de seguridad al que obliga el citado RLOPD, esta circunstancia se tendra que hacer constar igualmente en el contrato.
7.9 Ley aplicable y jurisdiccin

Sin lugar a dudas, uno de los problemas fundamentales que nos podemos encontrar en un contrato de prestacin de servicios en la nube es el derivado del contraste entre la universalidad de la red con respecto a la compartimentacin de las normas y los Estados. Los ordenamientos jurdicos tienden a establecer el territorio como mbito de aplicacin, mientras que la informacin colgada en la red no conoce de fronteras y fluye, en la prctica, con total libertad de un punto a otro del planeta. Resulta evidente que la forma ms sencilla de lidiar con esta problemtica es lograr que tanto la ley aplicable al contrato, como los juzgados que se designen para resolver las posibles controversias que resulten de la interpretacin del mismo, sean los ms cercanos al lugar donde se encuentre el establecimiento o sede de la empresa. Por ejemplo, parece lgico que una sociedad cuya sede se encuentre en Madrid prefiera que la ley aplicable sea la espaola, y los tribunales competentes los de la capital de Espaa, principalmente por comodidad, proximidad y mejor conocimiento de la normativa local. No obstante, no siempre resulta sencillo lograr que tanto ley como jurisdiccin recaigan en el propio pas. En la prctica, la decisin definitiva termina por depender de la capacidad de negociacin de las partes, de tal forma que aquella empresa que goce de una posicin ms fuerte termina por imponer sus condiciones, y por tanto el fuero que le resulta ms conveniente. En todo caso, las partes deben ser conscientes de que estamos ante una decisin de gran relevancia, especialmente cuando se pretende hacer valer las condiciones de un contrato en caso de incumplimiento.
96
Lo que resulta recomendable, en todo caso, es hacer que los tribunales competentes estn siempre sometidos a la ley aplicable. Por ejemplo, carecera de sentido afirmar que la legislacin a aplicar es la del estado de Washington, pero que los conflictos deben ser dirimidos por los juzgados de Zaragoza, puesto que sera realmente complicado que el rgano espaol pudiese juzgar (y sobre todo, ejecutar la sentencia) en base a la legislacin norteamericana. Finalmente, debe tenerse en cuenta que esta clusula ser complementaria con la de resolucin de conflictos, a la que nos hemos referido con anterioridad, por lo que ambas deben redactarse con especial cuidado para evitar contradicciones.
7.10 Auditabilidad
Dentro de los factores relevantes a la hora de configurar la contratacin de servicios de computacin en la nube, uno de los que ha tenido entrada ms tarda, y probablemente menor atencin hasta hace poco, ha sido la auditabilidad, entendida como la capacidad por parte del cliente que contrata los servicios para auditar la actividad del proveedor. Expresado en estos trminos, se trata de un concepto de gran amplitud, y que puede alcanzar una elevada complejidad de puesta en prctica, por lo que se debe personalizar en cada caso y en cada contrato de servicios en la nube. Antes de entrar en la proposicin de parmetros de configuracin de la clusula de auditabilidad, hay que indicar que es importante que se configure de modo que no se solape o contradiga con el contenido del correspondiente Acuerdo de Nivel de Servicio. Entrando en la configuracin de la clusula, en primer lugar, los tipos de auditoras que se pueden incorporar a la correspondiente clusula seran las siguientes (Ilustracin 8):
Ilustracin 8. Tipos de auditora

Auditora de cumplimiento normativo Tipos de auditora Auditora de polticas propias Auditora sobre puntos de control del contrato Auditora de cumplimiento de estndares
1. Auditora de cumplimiento normativo. Aquella dirigida al cumplimiento de una obligacin legal que establezca la necesidad de realizar una auditora sobre un determinado mbito, alcance, controles, periodo, etc. 2. Auditora de cumplimiento de estndares, buenas prcticas y otras normas no legales. Aquella dirigida al cumplimiento de un requisito establecido en una norma de carcter no legal pero que el cliente ha decidido cumplir (por ejemplo, para obtener o mantener una certificacin).
97
3. Auditora de cumplimiento de las polticas propias del cliente. En muchas ocasiones, el cliente de computacin en la nube tiene un cuerpo normativo propio, que igualmente son objeto de auditora. (por ejemplo, normas de uso de correo, controles asociados al Cdigo tico, etc.). Por tanto, los proveedores de servicios en la nube debern tener la capacidad de responder a necesidades de auditora derivadas de cuerpos normativos internos del cliente. 4. Auditora sobre puntos de control establecidos en el propio contrato. En el propio de servicios en la nube se pueden incorporar necesidades especficas de auditora, en funcin del acuerdo entre las partes. No obstante, se deber verificar que no hay solapamientos ni contradicciones con el Acuerdo de Nivel de Servicio correspondiente. En segundo trmino, se pueden sealar una serie de factores crticos a valorar en la configuracin de la clusula de auditabilidad, que van a influir en el xito de la misma (Ilustracin 9):
Ilustracin 9. Factores crticos para definir las auditoras

Acceso a otras auditoras Auditores autorizados
Auditora a subcontratados
Factores crticos
Gastos generados
Alcance geogrfico
Resultados de la auditora
1. Alcance geogrfico. Se deben delimitar las ubicaciones fsicas del proveedor de servicios en la nube (por ejemplo, centros de procesos de datos) que en definitiva estn detrs de la nube y que se pretende auditar. 2. Capacidad de auditar a los subcontratistas del proveedor. Tan importante o ms, en ocasiones, que la capacidad de auditar al proveedor de servicios en la nube, puede ser el disponer de la capacidad para extender la auditora a sus proveedores crticos que tengan un impacto efectivo en dichos servicios.
98
3. Acceso a otras auditoras. En muchas ocasiones, el proveedor de servicios en la nube va a tener que realizar sus propias auditoras (por obligacin legal, estndares, poltica interna), por lo que se debe establecer si su cliente puede acceder a los resultados de tales auditoras. 4. Quin puede realizar la auditora (por s o por terceros). Si para el proveedor de servicios en la nube puede ser difcil de asimilar que su cliente le audite, ms lo puede ser el permitir que sea un externo contratado por el cliente quien lo haga, considerando incluso posibles vnculos con competidores. 5. Gastos generados. Quin asume los gastos que para el proveedor tiene la auditora exigida por su cliente? 6. Resultados de la auditora. En este sentido, se debe delimitar si el proveedor va a tener acceso al resultado de la auditora y si sta va a tener algn efecto sobre el contrato de computacin en la nube.
7.11 Seguridad
El planteamiento de base de la seguridad como parte de un servicio de computacin en la nube debera ser que no debe haber ningn sacrificio, menosprecio, minoracin, diferenciacin o desestimacin del concepto de seguridad por el hecho de que los servicios sobre los que se establece se presten en modo servicio en la nube. Una buena forma de afrontar la seguridad en un contrato de computacin en la nube puede ser tomar como punto de partida, previo a la configuracin y puesta en explotacin del servicio, la realizacin de un Anlisis de Riesgos que permita identificar aquellos riesgos prioritarios o ms relevantes para la organizacin antes de poner en prctica una estrategia de computacin en la nube69. De ese modo, se podrn incorporar al contrato de adquisicin de servicios en la nube aquellas medidas que permitan al cliente del servicio reducir los riesgos identificados hasta alcanzar el umbral de riesgo asumible que se haya fijado (teniendo en cuenta que cada organizacin tiene un perfil de riesgo diferente). En este sentido, la incorporacin de los factores relativos a seguridad en el contrato de computacin en la nube puede estructurarse, entre otras muchas formas, en base a los criterios de seguridad ACIDA70. A modo de ejemplo, se proponen como factores a incorporar:
69
70
Los anlisis de riesgos han sido analizados en relacin a la computacin en la nube en el Captulo 6. Sistemas de Gestin de la Seguridad de la Informacin en la nube. Acrnimo de las cinco dimensiones consideradas: A Autenticidad, C Confidencialidad, I Integridad, D Disponibilidad y A Auditabilidad.
99
Tabla 3. Estructura de medidas de seguridad segn criterios ACIDA

Criterio Medidas Fuentes de datos Seguridad de base de datos Encriptacin Enmascaramiento Etc. Identificacin usuarios Gestin de roles Control de difusin Seguridad en dispositivos mviles Comunicaciones Seguridad base de datos Acceso fsico a instalaciones Especializacin del personal Etc. Trazabilidad Respaldo Recuperacin Controles de consistencia Garantas de exportacin a otros sistemas (en la nube o no) Etc. Respaldo Recuperacin Contingencias informticas Continuidad de negocio Comunicaciones Ventanas de mantenimiento Respuesta a incidentes Etc. Auditabilidad Monitorizacin Comunicacin de brechas de seguridad Evidencia electrnica Etc.
Autenticidad
Confidencialidad
Integridad
Disponibilidad
De manera aadida, e introduciendo un concepto de gran inters desde hace un tiempo en el mbito de la privacidad, se podra aadir como un aspecto adicional (aunque sin considerarlo una dimensin de la seguridad), el principio de responsabilidad71. Este principio y su significado no tiene una relacin, ms all de la nominal, con la responsabilidad que se analizaba en un punto anterior, como se podr apreciar de la definicin conceptual que se recoge a continuacin. Y ello por cuanto que este principio vendra a suponer que quienes estn tratando o procesando informacin, tanto de datos personales como cualquier otra informacin sometida o afectada por algn tipo de normativa, debern aplicar medidas adecuadas y eficaces para poner en prctica los principios y obligaciones que establecera la normativa aplicable, y demostrar tal cumplimiento cuando as le sea exigido. En definitiva, el principio de responsabilidad incorpora dos elementos principales:
71
En ingls, accountability.
100
a necesidad de que el responsable de la informacin o del procesamiento de la misma adopte L medidas adecuadas y eficaces para cumplir los principios que se establezcan en la normativa aplicable a tales datos o a su tratamiento o procesamiento; a necesidad de demostrar, si as se requiere, que se han adoptado medidas adecuadas y L eficaces; as pues, el responsable de la informacin o del procesamiento de la misma deber generar pruebas de lo indicado en el punto anterior.
7.12 Acuerdos de Nivel de Servicio (ANS)

Una parte fundamental de todo contrato de computacin en la nube es el Acuerdo de Nivel de Servicio (ANS), que muchos identificarn mejor bajo sus siglas en ingls SLA (Service Level Agreement). El National Institute of Standards and Technology (NIST) ha publicado el documento Guidelines on Security and Privacy in Public Cloud Computing [NIST, 2011], que contiene una interesante disertacin sobre qu es un ANS: Un ANS representa la comprensin entre el cliente y el proveedor de servicios en la nube sobre el nivel esperado del servicio que se va a entregar y, en caso de que el proveedor falle en entregar dicho servicio al nivel especificado, la compensacin disponible para el cliente. Un ANS, sin embargo, tpicamente forma solo una parte de los trminos de servicio estipulados en el contrato o en el acuerdo de servicio general. Los trminos de servicio cubren otros detalles importantes tales como licencia de servicios, criterios de usos aceptables, suspensin y finalizacin del servicio, limitaciones de disponibilidad, poltica de privacidad y modificaciones en los trminos del servicio. Por tanto, lo primero que tenemos que tener en cuenta es que el ANS es una parte del contrato de prestacin de servicios de computacin en la nube, y seguramente una de sus partes ms relevantes. Lo que no excluye que se incorpore al contrato como parte del cuerpo principal o como un anexo. Es fundamental tener en cuenta que el ANS viene a reflejar, sea negociado o no, las expectativas del cliente en cuanto a qu espera del servicio en la nube que ha contratado. Es por ello que, tanto el cliente como el proveedor, del servicio en la nube deben de tener muy claro que entienden del mismo modo los indicadores, mtricas y penalizaciones/bonificaciones incorporadas al ANS. En cuanto a una posible definicin de estos tres ltimos conceptos, se puede proponer la siguiente (Ilustracin 10):
Ilustracin 10. Componentes del ANS
ANS
Indicadores
Mtrica
Penalizaciones / bonificaciones
101
Indicadores. Parmetros por los cules se va a medir el desempeo del servicio en la nube. Mtrica. Modo de representacin de los resultados obtenidos de los indicadores, teniendo en cuenta que un mismo indicador (por ejemplo, tiempo de indisponibilidad del servicio), puede contrastarse contra muchas referencias, dando lugar a diferentes mtricas (periodo temporal, criticidad del periodo en el que ocurre, servicios afectados, comparacin con la competencia, etc.). Penalizaciones / bonificaciones. Son aquellos efectos que se producen en el caso de que las mtricas alcancen determinados valores acordados por las partes, y que normalmente se traducen en un perjuicio / beneficio econmico para el proveedor. En cuanto a la eleccin de los indicadores que se pueden incorporar a un ANS, pueden ser tantos como servicios en la nube son posibles, teniendo en cuenta adems que, para un mismo servicio, puede haber diferentes indicadores, en funcin de las necesidades y expectativas de cada cliente (siempre que sea posible negociar los indicadores a utilizar, claro est). En todo caso, existen ciertos parmetros que pueden tener en cuenta en la seleccin de indicadores, de modo que los indicadores sean: Especficos. Cuanto ms especficos sean, ms se reduce el riesgo de conflicto. Medibles. Es fundamental que el modo de medir sea objetivo, para evitar discrepancias e incluso facilitar la auditabilidad por terceros. Alcanzables. Realmente pocos proveedores de servicios en la nube van a permitir indicadores no alcanzables si pueden conllevar penalizaciones. Realistas. Se debe tener en cuenta que los indicadores responden a expectativas, por lo que sern estas las que, en primer trmino, sean efectivamente realistas.
7.13 Recomendaciones
Como resumen, y a modo de recomendaciones del presente captulo, podramos considerar las siguientes: Confidencialidad: En materia de confidencialidad, es absolutamente relevante que el acuerdo de prestacin de servicios que suscriba quien desea acceder a la nube incorpore una previsin de confidencialidad, previendo que el trmino informacin confidencial sea lo ms amplio posible y salvaguarde al mximo los intereses de quien contrata. Asimismo, debe acordarse expresamente la limitacin de los supuestos en los que el prestador del servicio podr revelar la informacin a terceros. Propiedad Intelectual: En lo que a propiedad intelectual se refiere, el contrato ha de reflejar que la propiedad intelectual sobre cualesquiera contenidos generados por el cliente o que ste pueda compartir en la nube (incluida documentacin comercial, cdigos, as como cualquier otro elemento relacionado o derivado de aqullos) pertenecer en todo momento al cliente, reteniendo ste la plena titularidad sobre los mismos, y no estando facultado el proveedor para su utilizacin de ningn modo.
102
Responsabilidad: En materia de responsabilidad, y a salvo de aquellas cuestiones que puedan quedar fuera del mbito de control del prestador del servicio, ste ha de hacerse responsable frente al cliente de cualesquiera daos o perjuicios o de cualquier reclamacin que pudiera surgir o que traiga causa en la suscripcin del contrato, debiendo el prestador del servicio asumir y mantener indemne al cliente de cualquier dao o perjuicio sufrido. Resolucin anticipada: En lo relativo a resolucin anticipada, es recomendable que el cliente tenga una salida en el contrato que le permita salirse del mismo sin necesidad de alegar justa causa, mediante un simple preaviso. Esta previsin es absolutamente relevante en contratos que tienen como sustento la tecnologa porque lo que en una fecha puede ser apto para las necesidades del cliente, puede no serlo tanto en un futuro cercano. Privacidad y proteccin de datos: Se trata ste de uno de los mbitos ms delicados de la contratacin a la nube. El cliente de computacin en la nube debe analizar la legislacin aplicable al tratamiento de datos que realice, y comprobar si est legitimado para contratar el servicio. Para ello, deber identificar previamente su condicin de responsable o encargado del tratamiento. Exigir igualmente al proveedor de servicios en la nube garantas de su capacidad de cumplir con la legislacin y, adems, el contrato har constar que los datos sern tratados por cuenta del cliente y siguiendo sus instrucciones. Y ello, sin perjuicio de otros condicionantes fijados en la legislacin nacional, y de la obtencin las autorizaciones de transferencias internacionales que resulten necesarias. Ley aplicable y jurisdiccin: Partiendo de la base de que toda compaa debe aspirar a establecer como ley aplicable y jurisdiccin las que ms le convengan, que habitualmente sern aqullas ms cercanas a su sede, y que no siempre contar con capacidad de negociacin para lograrlo... cuando menos, deber velarse por que la ley aplicable y la jurisdiccin sean coincidentes. Auditabilidad: Este concepto se refiere a la capacidad por parte del cliente de servicios en la nube para auditar la actividad del proveedor. Es importante que se configure de modo que no se solape o contradiga con el ANS. Puede haber diferentes tipos de auditora (de cumplimiento normativo, de cumplimiento de estndares o buenas prcticas, etc.), y en su configuracin se han de considerar aspectos como el geogrfico, o la capacidad de auditar a los subcontratistas del proveedor. Seguridad: La contratacin de servicios en la nube no debe suponer sacrificio, menosprecio, minoracin, diferenciacin o desestimacin del concepto de seguridad. En este sentido, la incorporacin de los factores relativos a la seguridad en el contrato de computacin en la nube puede estructurarse, entre otras muchas formas, en base a los criterios de seguridad ACIDA. Acuerdo de Nivel de Servicio: Es fundamental tener en cuenta que el ANS viene a reflejar, sea negociado o no negociado, las expectativas del cliente en cuanto a qu espera del servicio en la nube que ha contratado. Es por ello que, tanto el cliente como el proveedor del servicio de computacin en la nube, deben de tener muy claro que entienden del mismo modo los indicadores, mtricas y penalizaciones / bonificaciones incorporadas al ANS.
103
La obtencin de evidencias digitales en la nube
8.1 Introduccin
Para aquellos profesionales del sector legal o de la informtica forense, la mera definicin del concepto de prueba electrnica o evidencia electrnica ya supone todo un debate, sobre todo por las consecuencias jurdicas que dicha definicin conlleva. Con el objetivo de evitar cualquier debate que pudiera distraernos del objetivo de nuestro estudio y con el fin de estandarizar los conceptos que trataremos en este apartado, definiremos la prueba electrnica como cualquier dato almacenado o transmitido en forma digital y que por sus caractersticas pudiera ser utilizado para probar algn hecho en un procedimiento judicial. Si bien es cierto que la computacin en la nube no es nicamente una plataforma de almacenamiento de informacin y archivos sino tambin un nuevo modelo de prestacin de servicios de negocio y tecnologa, a la hora de analizar el procedimiento de gestin de pruebas electrnicas de computacin en la nube, este documento se centrar bsicamente en la informacin y datos almacenados en este entorno y no como prestador de servicios, pues es del anlisis de los datos de donde obtendremos un conjunto de indicios que reconstruirn la cadena de acontecimientos constituyendo pruebas electrnicas. La informtica forense, cuyo objetivo es la aplicacin de tcnicas y metodologas que permitan identificar, extraer, preservar y analizar datos en formato electrnico que sean admisibles en un procedimiento legal, es un sector que cuenta con una ya reconocida madurez (sin referirnos a los aspectos jurdicos de la materia). Existen numerosas herramientas y metodologas en el mercado que facilitan cada una de las tareas relacionadas con la gestin de pruebas electrnicas. Aunque si bien, y dejando fuera de momento los aspectos jurdicos de la materia, las herramientas existentes facilitan de gran manera el trabajo a realizar, siempre existe un componente de complejidad atado al medio o repositorio tecnolgico en donde se encuentra la prueba electrnica. Esto es, la dificultad de extraer, de forma forense, un fichero del disco duro de un porttil no es la misma que extraer el registro de una base de datos de diversos terabytes que a su vez se encuentra almacenada en una arquitectura de almacenamiento del tipo RAID. Sin duda alguna, es este ltimo aspecto el que nos lleva a desarrollar este apartado, la dificultad que conlleva trabajar con pruebas electrnicas ubicadas en entornos de computacin en la nube est definida en su mayor parte por los retos que supone trabajar con las arquitecturas que permiten que nuestras soluciones o servicios en la nube sean escalables, econmicos, eficaces, etc.

El presente captulo incluye un apartado que reflexiona sobre el impacto de las principales amenazas de los entornos de computacin en la nube sobre las evidencias electrnicas, precedido por otro apartado que desgrana la problemtica relativa a esta materia.
8. La obtencin de evidencias digitales en la nube
105
Finalmente, el ltimo apartado del captulo presenta un resumen de las principales recomendaciones identificadas a lo largo de todo el captulo presente.
Ilustracin 11. La problemtica de las evidencias
Responsabilidad compartida
Arquitecturas
Evidencias
Multiposesiin
Distribucin geogrfica
Finalmente, se incluye como Anexo III, el tratamiento que recibe la prueba electrnica en el marco legal Espaol.
8.3 La problemtica
Las caractersticas del diseo que nos permiten acceder a las ventajas tpicas de los entornos de computacin en la nube se convierten, a su vez, en los grandes retos tecnolgicos a afrontar en la obtencin de pruebas electrnicas en este tipo de arquitecturas. Aunque si bien dichos retos se han ido afrontando a lo largo de los aos, en arquitecturas similares, mediante la variacin de tcnicas utilizadas en la informtica forense tradicional, an existen retos que se acentan con la adopcin masiva de la computacin en la nube.
8.3.1 Responsabilidad compartida

El modelo tradicional de las grandes empresas, en lo que a la gestin de sus datos se refiere, consiste en que, o bien la misma empresa cuenta con su propia infraestructura y personal necesario para gestionar sus datos y servicios tecnolgicos, o bien se cuenta con algn proveedor que le ofrece un servicio personalizado (housing, hosting) el cual le proporciona un control casi completo sobre sus datos. Ante algn incidente de seguridad, el cliente del servicio contar con la posibilidad de acceder de forma ilimitada a los recursos requeridos para iniciar una investigacin y, por tanto, se le permitir actuar de la forma ms eficiente posible. 8. La obtencin de evidencias digitales en la nube 106
Por otro lado, el modelo de computacin en la nube pasa a ser un modelo compartido, en el que los datos siguen siendo propiedad de los clientes pero las aplicaciones o servicios que gestionan estos datos pueden ser propiedad del proveedor y por tanto: Es ms difcil determinar cmo o con quien debe contactarse en caso de que se produzca una incidencia de seguridad o cualquier otro evento que requiera una investigacin forense. Ser ms complicado implantar metodologas de forensic readiness que permitan establecer el sistema de respuesta a incidentes que ms se adecue a nuestra organizacin. Es probable que existan problemas de jurisdiccin en cuanto a la ubicacin geogrfica en la que se almacenan los datos y que por tanto pudieran convertirse en impedimentos para la garanta de la cadena de custodia. Adicionalmente, la facilidad de contratar servicios on-the-go de varios proveedores de computacin en la nube puede significar que en algn momento los clientes se encuentren utilizando servicios de algn proveedor desconocido y que, por tanto, se complique la toma de contacto con el mismo en caso de algn incidente.
8.3.2 Multiposesin
Uno de los procedimientos ms eficaces y comnmente utilizados para la gestin de pruebas electrnicas en entornos tradicionales es la copia forense del o de los discos duros que almacenan aquellos datos que pueden convertirse en pruebas digitales. Una vez se dispone de la copia del dispositivo, y siempre siguiendo las metodologas que permitirn garantizar la admisibilidad de la prueba, el analista poda proceder con calma a realizar el anlisis en todo el disco para poder as localizar las pruebas ms adecuadas para la investigacin (offline forensic). Este tipo de anlisis tiene como objetivo, no solo identificar las pruebas electrnicas ms relevantes para la investigacin, sino tambin adquirir aquellas pruebas electrnicas de entorno que permitirn ratificar, si fuese necesario, la veracidad o autenticidad de la prueba principal. Evidentemente, el escenario ideal es aquel en el que el investigador tiene acceso total al disco o dispositivo en donde se encuentran todos los datos relevantes para la investigacin. Sin embargo, dada la caracterstica de multi-posesin que suelen tener casi todos los servicios en la nube, es muy probable que en una misma infraestructura se encuentren datos de distintos clientes y que no cuenten con garantas absolutas de aislamiento. Es por esto que, dado que el proveedor tendr la necesidad de garantizar la privacidad y seguridad de sus clientes, la posibilidad de que el proveedor nos permita un acceso completo a la arquitectura que almacena nuestros datos es muy poco probable.
8.3.3 Distribucin geogrfica

En los entornos tradicionales, los clientes pueden controlar de cierta forma la ubicacin de sus datos y por tanto actuar de forma correspondiente a la hora de extraer o eliminar algunos de sus datos. An en el caso de que las pruebas relevantes en una investigacin estuviesen almacenadas en un servidor remoto, el propietario de los datos siempre podra, con los permisos necesarios, acceder de forma remota a dicha informacin. En entornos de computacin en la nube por otro lado, una de las ventajas con las que cuentan los clientes es el fcil acceso que se tienen a proveedores de servicios que se encuentran fuera de su mbito geogrfico y que le permiten acceder a servicios ms competitivos. Sin embargo, esta globalizacin de la informacin es quizs una de las problemticas ms comentadas en cuanto a la seguridad de los entornos
107
de computacin en la nube. Una vez que los datos salen de la infraestructura del cliente, y a no ser que se haya estipulado previamente, el cliente pierde parcial o completamente la trazabilidad sobre la ubicacin de su informacin con las siguientes consecuencias: Si no se conoce la ubicacin de las pruebas, no se pueden establecer las metodologas adecuadas para adquirirlas. Es posible que se omitan, por desconocimiento de su existencia, pruebas que estn distribuidas y que por tanto su identificacin sea imposible.
8.3.4 El secreto de las arquitecturas

Hasta hace algunos aos, y previa a la existencia de la computacin en la nube, exista una cierta normalizacin de tecnologas que permitan conocer con menor o mayor detalle su funcionamiento, facilitando cada una de las tareas relacionadas con la gestin de pruebas electrnicas. El hecho de identificar alguna informacin ilcita en el correo electrnico de un usuario y, posteriormente, aportar indicios sobre la autenticidad de dicha prueba poda ser un procedimiento casi trivial. Sin embargo, el boom en la tipologas de infraestructuras, plataformas o servicios en la nube, conjuntamente con el secretismo de los proveedores, hacen casi imposible, para los profesionales del sector de la informtica forense, conocer en su totalidad y, por tanto estandarizar, las metodologas, herramientas y procedimientos para la extraccin, anlisis y presentacin de pruebas electrnicas y por lo que nos enfrentamos a una ausencia de protocolos homologados, procedimientos de obtencin, conservacin y anlisis de los documentos electrnicos y otros elementos que la sustentan. Esta falta de protocolos homologados dificulta la acreditacin de autenticidad e integridad y obliga a justificar y demostrar en cada caso que los procedimientos utilizados han sido los correctos.
8.4 Las amenazas principales y la prueba electrnica

Como ya se ha comentado previamente, dada la similitud de las arquitecturas de computacin en la nube con otros modelos anteriores, los profesionales del sector de la informtica forense han ido desarrollando tecnologas y procedimientos para solventar o paliar los retos impuestos por tecnologas SaaS, PaaS e IaaS. Estas tecnologas y procedimientos han consistido en mejores prcticas basadas en la adaptacin de metodologas forenses tradicionales y aplicacin de sentido comn, a cada uno de los retos impuestos por el entorno de computacin en la nube. Por desgracia, estas mejores prcticas no son globales y muchas veces consiguen tan solo una pequea fraccin de la prueba electrnica que desearamos o bien stas carecen por completo de validez jurdica. El impacto de la computacin en la nube en la Sociedad de la Informacin vendr marcado, en mayor o menor medida, por las garantas que ofrezca la misma como infraestructura a la cual migrar desde entornos tradicionales. Entre las garantas necesarias se encuentra, sin lugar a dudas, la eliminacin del anonimato digital comnmente asociado a este tipo de entornos [CSA, marzo 2010]. La primera aproximacin de los profesionales del sector para resolver la problemtica a la que nos enfrentamos en materia de prueba electrnica en la nube ha sido la tipificacin de incidentes de seguridad ms comunes que pudieran surgir en entornos de computacin en la nube, y as, posteriormente identificar las tecnologas, metodologas y herramientas fundamentales para facilitar la adquisicin de las pruebas electrnicas ms relevantes para cada uno de ellos. El presente estudio pretende aportar una primera aproximacin sobre los procedimientos de respuesta en materia de prueba electrnica a cada uno de ellos.
108
8.4.1 Uso indebido o ilcito

El abuso de infraestructuras IaaS y PaaS afecta principalmente a los proveedores, salvo cuando dicho abuso impacta en otros clientes de esas mismas infraestructuras. Desde el punto de vista de la prueba electrnica, debemos requerir al proveedor la aplicacin de un protocolo de respuesta a incidentes que garantice, no slo la eliminacin del problema, sino tambin la disponibilidad de las pruebas necesarias para su posterior anlisis. Afortunadamente, el entorno de computacin en la nube resulta especialmente atractivo para una correcta y eficiente respuesta a incidentes de esta naturaleza. La virtualizacin de las plataformas, comnmente abusadas, permite al proveedor congelar de inmediato los recursos necesarios. No es necesario plantear el viejo dilema pull-the-plug, en estos entornos virtuales podemos congelar al instante el sistema, conservando ntegramente el cien por cien de la prueba disponible. Eso s, se debe requerir al proveedor, el archivo de las mquinas congeladas por abuso durante un perodo de tiempo suficientemente amplio como para que terceras partes que se hayan visto afectadas por dicho abuso puedan requerir acceso a las imgenes para su investigacin.
8.4.2 Abuso o uso indebido de interfaces inseguras

Ante la materializacin de un abuso de APIs o interfaces inseguras ser necesario disponer de un registro de auditora de su uso. Dicho registro debera ser completo y exhaustivo identificando no solo la secuencia de uso de las APIs sino tambin todos y cada uno de los parmetros en cada una de las llamadas realizadas, IP origen, tokens de autenticacin empleados, IP del nodo de acceso utilizado etc. Los registros de auditora del uso de las APIs en entornos distribuidos deberan realizarse con fuentes de tiempo confiables y sincronizadas. Idealmente, deberan adoptarse medidas por parte del proveedor para la aplicacin en tiempo real de mecanismos de sellado de tiempo y/o notarizacin digital.
8.4.3 Abuso por parte del proveedor del servicio

La materializacin de este riesgo derivara en una investigacin y respuesta al incidente gestionada internamente por el propio proveedor. Por ello, los consumidores deben valorar aquellos proveedores que cuentan internamente con equipos de respuesta a incidentes, y prevencin del fraude. Asimismo, su infraestructura interna (ms all de la propia infraestructura de computacin en la nube) debera cumplir con las mejores prcticas existentes en el entorno del forensic readiness. Afortunadamente los consumidores pueden mitigar este riesgo sacrificando un poco algunas de las ventajas del modelo de computacin en la nube. El uso de tecnologas de cifrado de disco y comunicaciones as como la gestin por parte del cliente de la autenticacin y gestin de clientes contribuyen a la mitigacin de este tipo de riesgo pero impiden aprovechar al cien por cien el nivel de abstraccin y la desvinculacin de la gestin propias del modelo de computacin en la nube.
8.4.4 Riesgos asociados a al comparticin de recursos

Desde el punto de vista de la prueba electrnica, la materializacin de este riesgo presenta muchas similitudes con el punto anterior. Un atacante capaz de saltarse las medidas de aislamiento propias de un entorno IaaS tendra un acceso muy similar al de un usuario interno malintencionado (malicious insider). Tcnicamente, contara con muchos de los vectores de ataque propios de un usuario interno. Desgraciadamente, no hay mucho que se pueda requerir en cuanto a prueba electrnica se refiere, dado que este riesgo utiliza un vector de ataque capaz de eludir por completo las APIs del proveedor (pblicas y privadas) y por lo tanto, difcilmente tendremos informacin til incluso en aquellos proveedores con un nivel de trazabilidad forense excelente.
109
8.4.5 Prdida de datos

Ante la materializacin de este riesgo el consumidor est ntegramente a merced del proveedor de servicios. Ser el proveedor quien tendr o no la capacidad para recuperar la informacin perdida. El consumidor debe blindar el comportamiento del proveedor de servicios en la nube mediante la firma de ANSs que especficamente regulen las polticas de respaldo y retencin del proveedor.
8.4.6 Fugas de informacin

La materializacin de fuga de informacin de un entorno de computacin en la nube resulta, probablemente, uno de los supuestos ms exigentes en cuanto a las necesidades de prueba electrnica durante la etapa de investigacin se refiere. Ser necesario disponer de: La capacidad para congelar las imgenes virtuales de los sistemas afectados. Registros de trazabilidad del uso de las APIs del proveedor de servicios en la nube. Registros del trfico de salida (y tal vez entrada). En caso de depender de subsistemas del proveedor de servicios en la nube (autenticacin, gestin de usuarios, VPN, etc.), registros de auditora del uso de todos ellos.
La mitigacin de la materializacin de este riesgo pasa, nuevamente, por minimizar la dependencia del consumidor con la infraestructura de servicios y subsistemas en la nube. Cuanto ms opaco sea nuestro servicio a los ojos del proveedor menor ser este riesgo derivado de la migracin a un entorno en la nube. El cliente no debe olvidar, no obstante, que es mejor depender de los subsistemas del proveedor de servicios en la nube cuando no se disponen de soluciones maduras y robustas internamente. De lo contrario, el riesgo se materializara por carencias en nuestros propios subsistemas.
8.4.7 Secuestro de la cuenta o servicio

La materializacin de este riesgo impone en el proveedor la necesidad de prueba en dos reas principales: 1. Recabar prueba del uso de cuentas y/o credenciales en procesos de autenticacin. 2. Recabar prueba del uso ilcito de privilegios asociados a las cuentas y/o credenciales. El primer punto pasa por disponer de un proveedor de servicios en la nube con un nivel adecuado de trazabilidad forense en sus sistemas de autenticacin. Idealmente, las propias pasarelas externas de autenticacin del proveedor deberan internamente atacar las propias APIs del proveedor y, por lo tanto, la trazabilidad forense en el uso de las APIs (comentado anteriormente) dara cobertura a las necesidades de prueba electrnica en este sentido. El segundo punto pasa por la posibilidad de poner en marcha un protocolo de respuesta a incidentes en los sistemas afectados. Aqu, el entorno de computacin en la nube no solo nos permite congelar la prueba, sino que adems nos permite clonarla y relanzarla de inmediato de forma que no se producen tensiones entre la necesidad de dar servicio y la necesidad de salvaguardar la prueba.
8.4.8 Otros riesgos desconocidos

Este es el nico riesgo inherente al modelo de computacin en la nube y por lo tanto, su materializacin va asociada necesariamente a toda contratacin y uso de tecnologas de este tipo. Desde la ptica de la prueba electrnica, nos encontramos en un entorno en el cual desconocemos el nivel de trazabilidad y forensic readiness del proveedor y por lo tanto, en gran medida, de nuestros servicios. Desgraciadamente, normalmente el cliente no es consciente del nivel de trazabilidad forense de su proveedor de computacin en la nube hasta que lo necesita.
110
La mitigacin de este riesgo inherente al modelo de computacin en la nube pasa por incorporar, por parte del consumidor, unos niveles mnimos de trazabilidad en las capas de aplicacin y negocio acordes al servicio desplegado en la infraestructura de computacin en la nube. Lgicamente, esto va en contra de la facilidad de uso y la reduccin de costes que promete el modelo de computacin en la nube. Por ello, el consumidor debe valorar todas las iniciativas en este aspecto que su proveedor ofrezca.
8.5 Recomendaciones
Como resumen de lo mencionado anteriormente en relacin a las evidencias electrnicas en entornos de computacin en la nube, cabra destacar las siguientes recomendaciones desde la perspectiva del cliente: Requiera al proveedor la aplicacin de un protocolo de respuesta. Asegrese de que su proveedor es capaz de congelar la prueba, conservando ntegramente el cien por cien. Requiera al proveedor que los registros de uso de las APIs en entornos distribuidos se realicen con fuentes de tiempo confiables y sincronizadas. Prepare con el proveedor de computacin en la nube la posibilidad de disponer de un protocolo de entrega a sus clientes de una copia de esas imgenes para su investigacin. Asegrese de que el proveedor cuenta internamente con equipos de respuesta a incidentes y prevencin del fraude. Revise los ANS para blindarse ante la prdida de datos. Los clientes y proveedores de computacin en la nube deben comprender mutuamente las funciones y responsabilidades de cada uno en relacin con la gestin de pruebas electrnicas, incluyendo actividades como la preservacin de documentos debido a litigio, bsquedas de descubrimiento, quin presta testimonio experto, etc. El proveedor de servicios en la nube y el cliente deberan disponer de un proceso unificado para responder a citaciones, emplazamientos y otras solicitudes legales. Aunque el proveedor disponga de un nivel de trazabilidad excelente, el cliente pocas veces tiene acceso y el proveedor que s lo tiene, pocas veces tiene la motivacin necesaria para invertir recursos en el anlisis de dichos registros. Se recomienda el anlisis de la oferta del mercado de cara a identificar posibles soluciones de terceros de confianza que permitan a los clientes obtener la trazabilidad mnima e indispensable. Los clientes y proveedores debern conocer los procedimientos ms elementales concernientes a la gestin de pruebas electrnicas desde la etapa de identificacin, recoleccin y anlisis de las pruebas hasta su potencial presentacin en un posible litigio.
111
Auditora de entornos de computacin en la nube
9.1 Introduccin
Las auditoras generalmente se enfocan en proveer garantas, lo que normalmente involucra evaluar la efectividad de los controles que revelan informacin acerca de la conducta de uno o ms procesos de negocio. Todas las compaas cotizadas deben realizar auditoras internas para garantizar la efectividad de sus controles para los propsitos de subsecuentes auditoras financieras o de revisin de polticas internas. Sin embargo, el entorno de provisin de servicios TIC a travs de la nube presenta caractersticas especficas diferenciales frente a otros entornos de provisin de servicios TIC. Estas diferencias sugieren la necesidad de revisar la forma en que la funcin auditora puede cumplir sus fines en este nuevo entorno, as como la de adaptar la operativa concreta aplicable al mismo: herramientas, metodologas, responsabilidades, colaboraciones, etc. Estas caractersticas diferenciales estn estrechamente ligadas con los modelos de nube definidas por la Cloud Security Alliance (Pblica, Privada, Hbrida o Compartida) [CSA, 2009]. A efectos de la funcin de auditora se pueden listar las siguientes caractersticas diferenciales de los entornos de computacin en la nube respecto a los que no lo son: 1. Los elementos incluidos en el programa de auditora pueden estar fsicamente ubicados en una o ms instalaciones, incluso separadas geogrficamente entre s. De esta forma, la posibilidad de que un equipo auditor realice su labor presencialmente requiere de mayor esfuerzo, complejidad y por consiguiente en mayores costes. 2. Debido a la distribucin geogrfica de los recursos de la nube, la accin auditora deber seleccionar cules de aqullos marcos jurdicos involucrados deben ser considerados. 3. Debido a que los elementos fsicos incluidos en el programa de auditora no son propiedad del cliente auditado (ni su uso es privativo por l), en entornos compartidos como es la nube (multi-inquilino), existirn recursos lgicos de otros clientes que queden excluidos del alcance de la accin auditora. En general, los auditores internos y externos para la nube buscarn las suficientes garantas basadas en el riesgo evaluado de los controles operacionales en toda la cadena de proveedores. Por ejemplo, los auditores internos y externos para un proveedor SaaS que a su vez utiliza un IaaS requerirn las suficientes garantas de este ltimo en controles tales como la continuidad del negocio o los procesos de seguridad. Adicionalmente, hay otros elementos que, si bien forman parte del modelo de computacin en la nube, no resultan diferenciales sobre otros ecosistemas TIC existentes. Para estos, son aplicables las metodologas tradicionales de auditora:
9. Auditora de entornos de computacin en la nube
113
Prestacin de servicios TIC a travs de un tercero, modelado mediante un Acuerdo de Nivel de Servicio (ANS). Incluyendo: o Gestin y resolucin de conflictos entre proveedor y clientes, o Albergado de datos, servicios y recursos TIC en instalaciones de un tercero (considerado individualmente, un tercero y uno cualquiera de los Centros de Procesamiento de Datos de un servidor de computacin en la nube). o Responsabilidad del prestador del servicio por deficiencias en el mismo. o Seguimiento del cumplimiento del ANS, y aplicacin de medidas correctivas o compensatorias en su caso. o Finalizacin de los contratos. Acceso a datos propios por terceros, incluyendo personal y proveedores del proveedor del cliente. Exportacin / importacin de datos de carcter personal entre pases. Riesgos reputacionales o de fraude por dependencias de terceros. Es importante resaltar que el resto de esta seccin no pretende dar un cuestionario o lista de verificacin para realizar una auditora de servicios en la nube, sino mostrar las diferentes metodologas y tecnologas existentes o que se estn desarrollando actualmente e indicar mejores prcticas de auditora en el nuevo entorno. En este cambio de paradigma, las TIC ya no se encuentran en el lmite fsico de las organizaciones, sino que estn dispersas en muchos casos en diversos territorios, cada uno con legislaciones especficas ms o menos restrictivas en trminos de manejo de privacidad, polticas de gobernabilidad de informacin, etc.

Este captulo, destinado a analizar los retos de la realizacin de auditoras en entornos de computacin en la nube, se ha estructurado entorno a dos grandes ejes que, a su vez, son los dos apartados principales del mismo. Por un lado, se analizan las metodologas y tecnologas de auditora, considerando las distintas modalidades de implementacin de servicios en la nube y repasando los distintos estndares que se pueden utilizar como referencia para la realizacin de estas auditoras. Tambin se incluye un breve repaso por tipos de tecnologas que pueden ayudar a la realizacin de auditoras y, finalmente, se analiza brevemente el papel que pueden jugar unas figuras emergentes como son los denominados Public Auditing Services (PAS) y Third Party Auditors (TPA). El otro eje que estructura este captulo son las recomendaciones que se realizan para llevar a cabo auditoras en este tipo de entornos de la manera ms eficaz y eficiente posible, analizada desde tres perspectivas: La eleccin del marco de auditora. La ejecucin de dichas auditoras. La difusin de los resultados de las mismas.
114
Ilustracin 12. Perspectivas de anlisis de auditoras
Eleccin de marco
Ejecucin de pruebas
Recomendaciones
Difusin de resultados
9.3 Metodologas y tecnologas de auditora

Tal y como se present en la seccin anterior, existen una serie de factores diferenciales en la computacin en la nube que requieren un replanteamiento de las metodologas y tecnologas actuales de auditora TIC. La Tabla 4 resalta la necesidad del uso de herramientas diferenciadas, en los distintos modelos de aprovisionamiento de computacin en la nube.
Tabla 4. Necesidad de metodologas y tecnologas de auditora diferenciadas por el modelo de computacin en la nube.
Nube Pblica Auditora fsica de las ubicaciones Aplicacin de marcos jurdicos transnacionales Uso compartido de sistemas TIC por otros clientes Acceso a servicios a travs de Internet Jurisdiccin aplicable para conflictos. Capacidad negociadora entre las partes ++ = Necesario, + = Opcional, NO = No necesario 9. Auditora de entornos de computacin en la nube 115 ++ ++ ++ ++ ++ + Nube Privada NO NO NO + NO NO Nube Hbrida + + NO + + NO Nube Comunitaria ++ ++ + + + NO
Partiendo de la tabla anterior, se puede comentar adicionalmente que las principales reas a auditar en un modelo de computacin en la nube son las siguientes: Gobernanza de las TIC Cumplimiento (Normativo y Contractual)72 Privacidad 73 Seguridad de TIC74 Gestin de operaciones (Red) Plan de contingencia En el Anexo IV se incluye un anlisis pormenorizado de las metodologas y tecnologas diferenciadas que pueden utilizarse para la computacin en la nube, tomando en cuenta sus principales ventajas e inconvenientes desde una perspectiva prctica. Estas metodologas o programas de auditora pueden ser utilizadas indistintamente por clientes y proveedores de servicios en la nube. Asimismo, se observa que son lo suficientemente genricas para los distintos modelos de servicio y de aprovisionamiento, de forma que no es necesario hacer distinciones para su utilizacin entre estos. Los auditores internos y externos para la computacin en la nube buscarn las suficientes garantas evaluando el riesgo de los controles operacionales en toda la cadena de proveedores. Por ejemplo, los auditores internos y externos para un proveedor SaaS que a su vez utiliza un IaaS requerirn las suficientes garantas de este ltimo en controles tales como la continuidad del negocio y los procesos de seguridad. Regularmente para un proveedor IaaS es costoso (tiempo y dinero) el llevar a cabo estas labores de auditora, por lo cual puede optar por elegir alguna otra opcin para proveer las garantas pertinentes sin tener que dar respuesta a todas y cada una de las peticiones individuales de auditora. En este punto surgen las Public Auditing Services (PAS)75 y Third Party Auditors (TPA)76 que es una forma de auditora que ha surgido para garantizar la seguridad de los servicios en la nube -y en particular, la relacionada con los datos almacenados y los procesos que se ejecutan en estos sistemas-. Sus principales ventajas y desventajas se muestran en la Tabla 5.
Tabla 5. Ventajas y desventajas de los PAS y TPA

Ventajas
- Debido a los potenciales conflictos de inters de los auditores internos, los PAS se requieren para evaluar la efectividad de los controles a pesar que el trabajo y la informacin recolectada vayan a ser similares. - Este auditor acta como tercera parte de confianza (TPA por sus siglas en ingls) y, para conservar la independencia del TPA, es deseable que ste sea independiente del proveedor de servicios al que audita. - Un TPA usualmente contar con los conocimientos y recursos para peridicamente verificar, por ejemplo, la integridad de los datos almacenados en la nube, algo que el cliente normalmente no podra llevar a cabo.
Desventajas
- Por su naturaleza misma, los PAS y TPA pueden representar en si un riesgo para los datos personales de los clientes almacenados en el proveedor que auditan. - Posibilidad de carencia de independencia en el caso de que sean contratados o tengan alguna relacin directa con el proveedor.
76
72 73
Analizado en el Captulo 7 Analizado en el Captulo 4
74 75
Analizado en el Captulo 6 Servicios de auditora pblicos
Auditores terceros independientes
116
9.4 Recomendaciones
Esta seccin recoge una serie de recomendaciones y mejores prcticas sobre metodologas y tecnologas de auditora para la computacin en la nube, esperando servir de gua no solamente para los clientes, sino tambin para los proveedores mismos. Estas recomendaciones se ordenan en tres lneas de actuacin diferenciadas, tal y como se muestra en la ilustracin a continuacin. Cabe resaltar que dichas lneas de actuacin son aplicables tanto a los modelos de servicio como de aprovisionamiento de computacin en la nube.
9.4.1 Recomendaciones en la definicin del marco auditor a aplicar

Se recomienda que los mecanismos de supervisin sean de obligado cumplimiento para el prestador del servicio en la nube, garantizando el servicio y el acceso a sus instalaciones a peticin del usuario o cliente de los aparatos de comunicaciones, equipos informticos o armarios de discos y soportes. Se recomienda seguir de cerca la evolucin de mecanismos, tales como CloudAudit, ya que su integracin en los servicios y productos existentes ser deseable para hacer ms transparentes a los proveedores de servicios en la nube. Tambin se recomienda seguir la labor de grupos como el Security Metrics WG de la Cloud Security Alliance, cuyos resultados sern complementarios al CloudAudit. Se recomienda que el TPA sea independiente del proveedor de servicios de computacin en la nube al que audita. Asimismo, es recomendable que se haga pblico un catlogo de TPA autorizados por cada proveedor de computacin en la nube.
9.4.2 Recomendaciones en la praxis de ejecucin de la accin auditora

En general, todos los servicios de auditora y mecanismos de control para la computacin en la nube debern de respetar la confidencialidad y privacidad de los clientes y sus datos. Se deber observar que cada prestador de servicios en la nube cada prestador de servicios en la nube debe disponer de una estructura organizativa que pueda atender las necesidades y requerimientos de cumplimiento legal de sus clientes y, en su caso, facilitar los trabajos de auditoria.77 Se auditar que el Acuerdo de Nivel de Servicios (ANS)78 entre el proveedor y el cliente deba incorporar elementos adicionales y penalizaciones asociados a su incumplimiento, en los mbitos de: cumplimientos regulatorios exigible a su cliente, verificacin del cumplimiento del ANS, acceso no autorizado por empleados del proveedor o proveedores a informacin del cliente, errores de seguridad y/o servicio que sean responsabilidad del proveedor, accesos no autorizados por deficiencias en el servicio del proveedor. La verificacin se realizar tanto sobre la existencia de estos elementos, como en su medicin y seguimiento en el curso de la prestacin de los servicios, como en la aplicacin de penalizaciones y/u otras provisiones que, contractualmente, se hayan establecido.
77 78
Estos aspectos se tratan en mayor detalle en el Captulo 4 destinado a la privacidad. Los Acuerdos de Nivel de Servicio se analizan en detalle en el apartado 7.12.
117
El auditor deber verificar la existencia y el uso de herramientas que protejan la integridad y completitud de ficheros de registros utilizados por el proveedor de servicios en la nube, para prevenir y/o detectar cualquier intento de manipulacin. Al hacer sus valoraciones, el auditor debe evaluar toda la cadena de confianza que va desde la fuente (creacin) de la informacin de los registros, pasando por la medidas de proteccin utilizadas en la transmisin de dicha informacin (HTTPS, TLS, etc.) hasta el tipo de proteccin de integridad (criptogrfica o de otro tipo) utilizada y la cronologa de dichos ficheros. En el mbito de colaboracin con el proveedor de servicios en la nube, y buscando minimizar el impacto en recursos y operaciones del proveedor que pueden suponer las distintas acciones auditoras por parte de sus distintos clientes, el equipo auditor se adaptar a los calendarios y ventanas de auditora que establezca el proveedor de forma que sus distintos clientes puedan compartir para sus diversos fines los resultados de actividades auditoras realizadas en dicho calendario.
9.4.3 Recomendaciones en la difusin y publicacin de los resultados

Se deber observar que los servicios de auditora para la computacin en la nube estn disponibles para su consulta en cualquier momento a peticin del auditor autorizado por el peticionario del servicio en la nube o del cliente del servicio, sin interrumpir los niveles de servicio acordados. La forma en la que dichos servicios estn disponibles sern diferentes en el caso de TPAs y PAS. Se deber verificar que se establezcan los mecanismos de monitorizacin y alerta de los servicios prestados que informen al consumidor el grado de cumplimiento (o incumplimiento) de los niveles de servicio acordados. En particular, estos elementos deben ser puestos a disposicin de los equipos auditores en el transcurso de su trabajo.
118
Glosario
Acuerdo de Nivel de Servicio (ANS) Contrato escrito entre un proveedor de servicio y su cliente con objeto de fijar el nivel acordado para la calidad de dicho servicio. El ANS es una herramienta que ayuda a ambas partes a llegar a un consenso en trminos del nivel de calidad del servicio, en aspectos tales como tiempo de respuesta, disponibilidad horaria, documentacin disponible, personal asignado al servicio, etc. Auditabilidad Entendida como la capacidad por parte del cliente que contrata los servicios en la nube para auditar la actividad del proveedor. Binding Corporate Rules Ver Normas Corporativas Vinculantes. IaaS (Infrastructure as a Service) Modelo de computacin en la nube en el que la infraestructura se utiliza como servicio. ISAE 3402
Forensic readiness Habilidad de una organizacin para maximizar su potencial para usar evidencias digitales minimizando los costes de la investigacin. Matriz RACI Herramienta que identifica tareas a realizar en una materia y asigna a los roles pertinentes que se definan en la organizacin una funcin sobre esa tarea. El nombre de la herramienta deriva de las iniciales en ingls de los tipos de funciones que se asignan: R Responsible, A Accountable, C Consulted, I Informed. En ocasiones, se utiliza la variante RASCI, que incluye el rol de soporte (S Supported). Modelo SPI Tipificacin de modelos generales de implantacin de servicios en la nube en tres categoras que dan nombre al modelo: SaaS Software as a Service, PaaS Platform as a Service, IaaS Infrastructure as a Service. Multi-inquilino
Ver la definicin de SAS70. Evidencia electrnica Cualquier dato almacenado o transmitido en forma digital y que por sus caractersticas pudiera ser utilizado para probar algn hecho en un procedimiento judicial. Propiedad de la computacin en la nube que consiste en la existencia de varios clientes en un mismo sistema (del ingls, multi-tenant).
10. Glosario
120
Normas Corporativas Vinculantes Desarrolladas por el Grupo de Trabajo del Artculo 29, permiten a corporaciones multinacionales realizar transferencias internacionales intracompaa de datos de carcter personal cumpliendo con la legislacin a. Notarizacin digital Sistema que permite dar fe de algn aspecto de manera electrnica. PaaS (Platform as a Service) Modelo de computacin en la nube en el que la plataforma se utiliza como servicio. Prueba electrnica Cualquier dato almacenado o transmitido en forma digital y que por sus caractersticas pudiera ser utilizado para probar algn hecho en un procedimiento judicial. SaaS (Software as a Service) Modelo de computacin en la nube en el que los programas, el software se utiliza como servicio.
SAS 70 Statement on Auditing Standards No.70: Service Organizations. Proporciona gua a los auditores cuando estn evaluando los controles internos de un proveedor de servicios y emitiendo un informe en consecuencia. Sellado de tiempo Protocolo on-line descrito en el RFC 3161 que permite demostrar que una serie de datos han existido y no han sido alterados desde un instante especfico en el tiempo. Trusted Computing Base (TCB) Conjunto de componentes hardware, middleware y/o software crticos para la seguridad del sistema. VA Aplicativos Virtuales diseados para ejecutarse en plataformas virtualizadas. VM Mquinas virtuales. Instalacin de un sistema operativo aislado en el sistema operativo normal.
10. Glosario
121
Referencias
[CSA, 2009] Cloud Security Alliance, diciembre 2009. Security Guidance for Critical Areas of Focus in Cloud Computing v2.1. [CSA, marzo 2010] Cloud Security Alliance, marzo 2010. Top Threats to Cloud Computing v1.0 [CSA, diciembre 2010] Cloud Security Alliance, diciembre 2010. Cloud Security Alliance launches Cloud Controls Matrix (CCM) 1.1. [Directiva 1995] Directiva 95/46/CE del parlamento europeo y del consejo de 24 de octubre de 1995 relativa a la proteccin de las personas fsicas en lo que respecta al tratamiento de datos personales y a la libre circulacin de estos datos. [ENISA, 2009] European Network and Information Security Agency, noviembre 2009. Cloud Computing Information Assurance Framework. [ENISA, 2011] European Network and Information Security Agency, 2011. Cloud Computing Information Assurance Framework. [Inteco, 2011] INTECO-CERT, marzo 2011. Riesgos y Amenazas en Cloud Computing.
[ISACA, 2010] ISACA, 2010. Cloud Computing Management Audit/Assurance Program. [ISO 27001] International Organizacin for Standardization, octubre 2005. ISO/IEC 27001:2005 Information technology -- Security techniques -- Information security management systems Requirements. [ISO 27002] International Organizacin for Standardization, junio 2005. ISO/IEC 27002:2005 Information technology -- Security techniques -- Code of practice for information security management. [NIST, 2011] National Institute of Standards and Technology, enero 2011. Guidelines on Security and Privacy in Public Cloud Computing. [RLOPD] Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre, de proteccin de datos de carcter personal. [WPF, 2009] World Privacy Forum, febrero 2009. Privacy in the Clouds: Risks to Privacy and Confidentiality from Cloud Computing.
11. Referencias
123
Anexos
Anexo I. Amenazas asociadas a tecnologas especficas

Los ataques se vuelven cada vez ms sofisticados, producindose un cambio de enfoque, con los atacantes centrados expresamente en agotar los recursos que no son expresamente de ancho de banda, como son los cortafuegos, los balanceadores de carga, la infraestructura de back-end de base de datos y la capacidad transaccional asociada y los algoritmos que sirven datos almacenados en cach. Con la consolidacin y migracin de infraestructuras/servicios a la nube (por ejemplo, DNS), el riesgo de ataques que impactan en mltiples entidades y que con mayor frecuencia inducen daos colaterales, es mayor. Este hecho es conocido como multi-tenancy, y se erige como un factor determinante a la hora de identificar las amenazas asociadas a la provisin de un servicio en la nube, siendo un factor discriminante en la elaboracin de un anlisis de riesgos sobre el mismo. Sin embargo, de las asociaciones entre fabricantes de las mltiples disciplinas/tecnologas que interactan en la nube, estn surgiendo nuevas arquitecturas multi-tenancy aseguradas, conformando infraestructuras compartidas y virtualizadas, que proporcionan un aislamiento ms seguro de los datos, y mantienen el rendimiento de la carga de trabajo. Como consecuencia, proliferan diversas opciones para mitigar los riesgos derivados del uso masivo de estas tecnologas en los contextos de provisin de servicio en la nube. Soluciones Independientes: Las tecnologas y los fabricantes estn evolucionando hacia soluciones especficas, asocindose entre ellos, conformando agrupaciones de inte-rs. Estas tecnologas, entre otras, proporcionan un mayor control sobre el hipervisor, in-cluso descargando a los sistemas/servidores (Virtual Machines - VM) de la carga propia de procesamiento (real-time monitoring/scan) proporcionando una capa de seguridad inde-pendiente (Virtual Appliance - VA). Existen varios enfoques empleados en dicha aproximacin: o independencia total (no es necesario desplegar agentes que permitan realizar la gestin local de las tecnologas). o independencia parcial (se descargan funciones en VA, y se mantienen otras a travs de agentes sobre las VM).
12. Anexos
125
Soluciones Integradas: Adems de estas tecnologas, existen otras especficas que se integran con el hipervisor y lo protegen frente a ataques de rootkits que inyectan malware en el hipervisor. Soluciones Simplificadas (Redefinicin, Reingeniera): Otros enfoques estn orientados hacia la simplificacin/inhabilitacin de componentes a priori innecesarios que pueden mejorar la seguridad de los hipervisores reduciendo la tasa de riesgo a travs de la denominada Trusted Computing Base (TCB). Precisamente, debido a la carga de cdigo innecesario en la TCB, los hipervisores pueden verse expuestos a distintos ataques: o Ataques desde mquinas virtuales invitadas. o Ataques fsicos. taques procedentes de la subcontratacin de terceros (proveedores de servicios en la nube). A Las tecnologas que mitigan los riesgos introducidos por hipervisor reducen el mbito del ataque a la TCB minimizando la interfaz entre la TCB y la mquina virtual invitada. Incluso si la vulnerabilidad existe dentro de la TCB, el sistema sigue siendo seguro, siempre y cuando el atacante no pueda explotarla. Implica re-pensar el diseo del hipervisor para escenarios en la nube, eliminando dispositivos virtuales innecesarios.
12. Anexos
126
Anexo II. Amenazas

Las tablas incluidas a continuacin se han organizado conforme a la siguiente estructura: Consideraciones sobre la relevancia de la amenaza en entornos de computacin en la nube.
Efecto de la amenaza en servicios IaaS Recomendaciones de control para usuarios de servicios IaaS Efecto de la amenaza en servicios PaaS Recomendaciones de control para usuarios de servicios PaaS Efecto de la amenza en servicios SaaS Recomendaciones de control para usuarios de servicios SaaS
Nombre de la amenaza
Aunque no es una amenaza exclusiva de entornos de computacin en la nube, si adquiere en stos particular relevancia.
Al estar los servicios IaaS basados en la virtualizacin sobre sistemas operativos estndar, el lock In, aunque existente, es fcil de migrar la aplicacin y sus datos a otro proveedor con una complejidad similar al cambiar de mquina fsica. En consecuencia, la necesidad de conocimiento de las herramientas de gestin, es asimilable al cambio de fabricante de HW. Se ha de evaluar qu funcionalidades especficas del proveedor sean fcilmente sustituibles por otras de otros proveedores. Por ejemplo, los balanceadores de carga. En SaaS, los datos y la aplicacin estn en un formato En los PaaS, cada uno ofrece definido por el proveedor, un lenguaje ms o menos el cambio a otro proveedor especifico, por tanto, cambiar de implicara el mismo esfuerzo PaaS puede implicar reescribir que el cambio de aplicativos por completo la aplicacin en en modelos tradicionales caso de incompatibilidad o (otro modelo de ERP / CRM / hacer cambios menores para etc.) Cuanto ms estndar sea adaptarse a las especificidades nuestra necesidad cubierta por de cada proveedor. el servicio SaaS, ms fcil ser reubicarlo en otro proveedor. Procurar utilizar operativas mediante lenguajes estndar y controlar los aspectos especficos del proveedor, abstrayndolos en lo posible.
Bloqueo en el proveedor
Asegurar que existen sistemas de exportacin de todos los datos importantes a formatos interoperables.
Prdida de gobierno
Esta amenaza tiene mayor incidencia en la evaluacin de riesgo respecto al modelo tradicional debido a que cedemos parte de la gestin a otras compaas que tendrn sus propios estndares de gobierno.
La prdida de control afecta a la infraestructura y los datos. La prdida de control afecta a la infraestructura, el servidor de aplicaciones y los datos. La prdida de control afecta a la infraestructura, el servidor de aplicaciones, la propia la aplicacin y los datos.
Asegurar, va contrato, que se establecen medios de gobierno compatibles con los de tu compaa y trabajar como si no se estuvieran cumpliendo en activos de impacto alto.
12. Anexos
127
Esta amenaza existe siempre, pero en entornos de computacin en la nube tenemos que asegurar mediante contrato que hemos obrado correctamente. Incumplimientos normativos
La mayora de proveedores permiten conocer dnde estn los datos y qu procesos usan, pero el entorno aumenta la complejidad de las auditorias por terceras partes debido a la existencia de nuevos actores. Cifrar los datos almacenados de forma que el proveedor no pueda acceder a ellos. Lgicamente, se deber controlar la clave privada. Es ms complicado auditar cmo se guardan los datos y dnde, an as, la aplicacin desarrollada debera incorporar contramedidas. Nos basamos en el grado de cumplimiento del proveedor y en los controles que, como usuarios de aplicacin, podamos establecer. Aunque solo se tenga acceso a la administracin de la aplicacin, se debern establecer las medidas que se puedan a este nivel y asegurar el resto mediante contrato y revisin peridica.
Implantar las contramedidas en la aplicacin a desarrollar para evitar incumplir alguna norma, aunque el proveedor tenga algn incidente de seguridad.
Prdida de reputacin a causa de actividades de vecinos
Al compartir infraestructura con otros, sus actividades pueden afectarnos. De igual forma que los vecinos de nuestro lugar de trabajo, de alguna forma, afectan a la reputacin del negocio.
Aunque el servicio solo sea a nivel de infraestructura, puede producirse, por ejemplo, al compartir infraestructura con otro cliente que realice actividades de spammer puesto que podra afectar a nuestras tasas de entrega de correo y por revelacin de datos.
Lo mismo puede ocurrir si lo que se comparte es el servidor de aplicaciones y por revelacin de datos.
Igualmente, puede ocurrir al compartir la aplicacin y por revelacin de datos.
Existe una gran dependencia del servicio concreto, pero, en cualquier caso, hemos de asegurar que el proveedor no tolere comportamientos que consideremos inadecuados mediante correctas polticas de acceso y requerimientos de buen uso controlados.
Adquisicin del proveedor cloud
La adquisicin no tiene por qu ser perjudicial en s misma, pero se ha de evaluar el grado de trasparencia para los clientes hospedados. En caso de que se entienda que aumenta significativamente los niveles de riesgo evaluados con el antiguo propietario, deberemos actuar como en el caso de fallo o cierre.
Si el bloqueo (lock in) con el proveedor lo mantenemos a niveles controlados, el riesgo sera que fallara o cesara su actividad sin darnos tiempo a ejecutar las contramedidas necesarias para mover los procesos all alojados a otro proveedor. Disponer de los datos en formato neutro de proveedor en un almacenamiento local o de un tercero independiente, por ejemplo, fuera del centro de procesamiento de datos/proveedor donde tenemos el servicio.
12. Anexos
128
Fallo o cierre del proveedor
La adquisicin no tiene por qu ser perjudicial en s misma, pero se ha de evaluar el grado de trasparencia para los clientes hospedados. En caso de que se entienda que aumenta significativamente los niveles de riesgo evaluados con el antiguo propietario, deberemos actuar como en el caso de fallo o cierre.
Si el bloqueo (lock in) con el proveedor lo mantenemos a niveles controlados, el riesgo sera que fallara o cesara su actividad sin darnos tiempo a ejecutar las contramedidas necesarias para mover los procesos all alojados a otro proveedor. En cualquier caso tenemos que tener habilitados estos procesos que acten de contramedida, en especial la realizacin de una correcta Due Dilligence en el proceso de seleccin del proveedor. Disponer de los datos en formato neutro de proveedor en un almacenamiento local o de un tercero independiente, por ejemplo, fuera del centro de procesamiento de datos/proveedor donde tenemos el servicio. Existe una gran dependencia del servicio concreto, pero, en cualquier caso, hemos de asegurar que el proveedor no tolere comportamientos que consideremos inadecuados mediante correctas polticas de acceso y requerimientos de buen uso controlados.
Fallos en la cadena de suministro
Si el proveedor subcontrata determinadas tareas a terceros, la seguridad total es la del elemento ms dbil.
En IaaS, se ha de mantener controlada nuestra infraestructura por si hay elementos maliciosos en el proveedor. En PaaS, no solo se han de tener en cuenta los elementos de IaaS, sino todas las dependencias que existan en la aplicacin. Planificar para el fallo y validar la integridad de las mismas y los datos. En SaaS, aunque subyacen las consideraciones de PaaS e IaaS, generalmente estamos limitados a lo que soporta el proveedor.
Asegurar contractualmente que todas las subcontrataciones, al menos, mantendrn el nivel de seguridad.
Agotamiento de los recursos
Al compartir infraestructura con otros, sus actividades pueden afectarnos. Si el control de recursos no es adecuado, algunos usuarios pueden copar su uso.
Podemos encontrarnos con que se reduce el rendimiento de los servidores o, en caso de cada, que no puedan reiniciarse. El efecto habitual sera la reduccin del rendimiento de la aplicacin. El efecto sera la reduccin del rendimiento del servicio. Asegurar, va contrato, la utilizacin y adhesin a mtricas de rendimiento a nivel de experiencia de usuario. Por ejemplo, en el 95% de las ocasiones, la carga de un pedido tarda menos de 2 segundos.
Asegurar, va contrato, la utilizacin y adhesin a mtricas de rendimiento y de capacidad adicional. Por ejemplo, reserva adicional del 10% comprometido.
12. Anexos
129
El modelo de computacin en la nube incrementa este riesgo ya que, potencialmente, existen ms actores que pueden tener acceso al repositorio de los datos, adems de difuminar el permetro de proteccin. Prdida o fuga de datos
Perdemos control sobre los mtodos de baja de servicio o control de acceso a los APIs. Lo recomendable sera cifrar todos los datos, en trnsito y almacenados, asegurar procedimientos fiables de desprovisin de servicio, utilizar mtodos de autenticacin seguros e impedir el uso de mecanismos dbiles de autenticacin. Adems de lo comentado para IaaS, debemos controlar cmo escribimos los datos y validar que el cdigo que se ejecuta es el nuestro. Perdemos control sobre las formas de almacenaje y/o cdigo para acceder, debemos asegurar por contrato/auditoria que se establecen las prcticas adecuadas. Todos los datos que el servicio permita que sean opacos, los podemos cifrar y, para el acceso, deshabilitar los sistemas dbiles de autenticacin, dejando nicamente activos los robustos.
Se debera firmar el cdigo y comprobar la firma en ejecucin para tener una cierta garanta de que nadie ha tocado nuestro cdigo para acceder a los datos ya protegidos.
Denegacin de servicio distribuida
Para todos nuestros servicios pblicos en Internet, los servicios de computacin en la nube reducen el riesgo de afectacin ya que podemos dimensionar la capacidad de forma mucho ms gil y minimizar el impacto de los ataques DDoS.
Para los servicios IaaS, si son pblicos, nos puede afectar a nosotros, y si son privados aunque en infraestructura pblica, nos pueden afectar tambin los posibles ataques a nuestros vecinos que agoten los recursos del proveedor. Evitar en lo posible exposiciones del servicio a la red pblica, ya sea con VPN o redes dedicadas hasta el proveedor de servicio. En el modo PaaS, donde se dimensionan los recursos en base a demanda, el riesgo lo tenemos en la sobresuscripcin que pueda haber hecho el proveedor. Va contrato asegurar una garanta de rendimiento que nos independice de los posibles ataques a los vecinos. Por modelo de negocio, los proveedores SaaS publican el servicio mediante Internet, as que un ataque exitoso nos afectar si afecta al servicio del proveedor. Exigir al proveedor que disponga de mtodos de mitigacin de ataques y tenga en la lista blanca de IPs a nuestras sedes.
Secuestro de servicio o cuenta
Al ser uno de los principios de computacin en la nube que sea ofrecido con autoprovisin y autogestin, si un ente malicioso obtiene acceso a nuestras credenciales puede realizar cualquier accin que podamos hacer nosotros.
Aunque se proveen servicios de infraestructura, se pueden borrar datos, parar mquinas o implantar malware que no detectemos a tiempo. Utilizar mtodos fuertes de autenticacin, comunicaciones cifradas, e implantar medidas para comprobar la integridad de nuestros servicios. En un PaaS a parte de obtener los datos, pueden modificar el cdigo para obtener nuevas credenciales o realizar otras acciones. Utilizar mtodos fuertes de autenticacin, utilizar comunicaciones cifradas e implantar medidas para comprobar la integridad de nuestro cdigo. Obtienen acceso a los datos y pueden realizar acciones que afecten al negocio. Por ejemplo enviar un correo en nombre de un empleado a un cliente. Utilizar mtodos fuertes de autenticacin y utilizar comunicaciones cifradas.
12. Anexos
130
Perfil de riesgo desconocido
Al externalizar parte o toda la gestin a un tercero, perdemos el control de qu equipos ofrecen el servicio, versiones de software, controles de acceso, etc
En este caso, al ser el problema el desconocimiento, lo tenemos en todos los escenarios SPI en mayor o menor medida. Con objeto de mitigarlo, lo nico que podemos hacer es disminuir los mbitos de desconocimiento. Realizar una correcta due dilligence en el proceso de contratacin del proveedor con objeto de reducir los mbitos de desconocimiento. Asegurar que el proveedor avise en caso de detectar alguna anomala con efectos en mbitos de seguridad, manteniendo unos contenidos y flujos de informacin giles y preestablecidos.
Incumplimiento de legislacin aplicable
Al externalizar parte o toda la gestin a un tercero, perdemos el control de qu equipos ofrecen el servicio y donde estn, con lo que algunas legislaciones de la que no tengamos constancia pueden obligar a nuestro proveedor a ofrecer datos o entregar los equipos, provocando un fuga de datos o denegacin de servicio.
En este caso, al ser el problema la legislacin, lo tenemos en todos los escenarios SPI en mayor o menor medida. Para mitigarlo, debemos conocer las legislaciones que pueden aplicar, solicitando al proveedor que no mueva los servicios a ubicaciones y/o sistemas que no cumplan nuestros requisitos. A todos los efectos, debemos sumar las consideraciones de los casos en que el proveedor deja de dar servicio y prdida de datos. Aqu no sera por motivos tcnicos o maliciosos sino por imperativo legal, pero el resultado sera similar. Los contratos firmados han de determinar las responsabilidades derivadas del cumplimiento normativo aplicable de forma explcita.
Fallos del aislamiento de servicios Uso indebido y nefasto del cloud computing
Al estar en plataforma compartida, si un vecino es vulnerable, pueden afectar a nuestro entorno. En entornos privados, los fallos de aislamiento son ms fciles de controlar ya que todos los vectores estn bajo nuestro control o del proveedor.
Aqu el proveedor, sea IaaS, PaaS o SaaS nos debe dar las garantas necesarias para confiar en que tienen estos aspectos completamente en cuenta. Ya sea por normas y procesos de calidad de cdigo, diseo y operacin o aplicacin de parches. La mejor forma de mitigar el riesgo es considerar que nuestro servicio en s es vulnerable y aplicar cifrados y controles de integridad, mitigando el riesgo de compromiso de datos al minimizar el tiempo en que estos son accesibles en claro.
Los usuarios maliciosos aprovechan las ventajas de computacin en la nube para lanzar ataques (en especial, a proveedores).
Normalmente, el usuario malicioso usar una tarjeta de crdito o cuentas comprometidas y despus de un gran uso de recursos, el proveedor no podr recibir compensacin. Con objeto de mitigarlo, debemos encontrar el compromiso entre facilidad de activacin de servicio y garantas de pago y buen uso del servicio. Se debe poder analizar el trfico por si se estn lanzando ataques desde nuestra infraestructura, validar que el cliente es quien dice ser, monitorizar la reputacin de nuestros bloques de red, etc
12. Anexos
131
Interfaces y APIs inseguras
Si una de las caractersticas de la computacin en la nube es la autoprovisin y gestin del servicio, dichas interfaces y APIs deben permitir el acceso desde Internet.
Al permitir acceso remoto a herramientas de gestin, debemos poder autenticar y autorizar debidamente al ente (usuario o programa) que est realizando la peticin. Un fallo puede afectar al servicio del cliente o comprometer su infraestructura (especial relevancia en entornos PaaS). Para mitigarlo, debemos habilitar y exigir los sistemas de autenticacin adecuados para el servicio ofrecido. Por ejemplo, la comunicacin cifrada, autenticacin mediante certificados y/o contraseas de un solo uso, etc El proveedor debe poder ofrecer mtodos seguros de autenticacin y adems supervisar la actividad para detectar posibles malos usos.
Usuarios internos maliciosos
En los entornos tradicionales, ya es muy conocido el riesgo de usuarios maliciosos internos, pero al externalizar los servicios, podemos encontrarnos con usuarios del proveedor que tengan ms derechos que el propio usuario.
Deberamos exigir al proveedor conocer cmo se dan derechos a los usuarios, qu auditoria existe y qu tipo de supervisin y procesos tienen implantados para reducir la posibilidad de tener usuarios internos maliciosos. Para mitigarlo, debemos considerar que estamos en un entorno hostil y, para proteger nuestra informacin, cifrar y validar la integridad de la misma. De esta forma, un usuario malicioso podra afectar a la disponibilidad, pero no tanto a la integridad y confidencialidad.
Aspectos de la tecnologa compartida
La computacin en la nube se basa en la comparticin de infraestructura para poder mejorar eficiencias y aprovechar economas de escala, as que problemas en la tecnologa compartida, pueden afectar a nuestro servicio.
El proveedor debe poder asegurarnos agilidad en la aplicacin de los parches que solucionen vulnerabilidades y herramientas de gestin y supervisin para identificar comportamientos no esperados. Por ejemplo, trfico destinado a un cliente es visible por otro servidor, un usuario del cliente X est accediendo a datos del cliente Y, etc Para mitigarlo y proteger nuestra informacin, debemos cifrar y validar la integridad de la misma. De esta forma, un fallo en la tecnologa compartida podra afectar a la disponibilidad, pero no tanto a la integridad y confidencialidad.
12. Anexos
132
Anexo III. La prueba electrnica en el marco legal Espaol Definicin de Prueba electrnica
Prueba: Justificacin de la verdad de los hechos controvertidos en un juicio, hecha por los medios que autoriza y reconoce por eficaces la ley (DICCIONARIO DE LA LENGUA ESPAOLA - Vigsimosegunda edicin) El concepto de prueba electrnica, como herramienta procesal probatoria de los acontecimientos ocurridos en la nube, evoca lo intangible. La volatilidad est en la propia naturaleza de la prueba electrnica, y por lo tanto, esa tendencia inevitable a la alteracin de dicho soporte probatorio exige actuar con mucha caucin y diligencia. Son datos de inestimable valor para todo presunto fraude digital, electrnico, virtual o en la nube que se est investigando, pues sirve para adquirir convencimiento de la certeza de un hecho. Estas caractersticas intrnsecas de la prueba electrnica llevan a implementar unas medidas garantistas en el momento de la obtencin de los indicios, la informacin o los datos contenidos en estos entornos que podrn generar prueba si son debidamente capturados. Los principios bsicos acerca de las garantas de integridad de la informacin a tener en consideracin para conseguir convertir el indicio en prueba son: los datos o la informacin almacenada y que quiere ser obtenida no puede ser alterada o manipulada, la persona que realiza la investigacin debe tener autorizacin para llevarla a cabo, y todo el proceso seguido debe quedar registrado o auditado por un fedatario pblico de tal forma que un tercero pueda llevar a cabo el mismo proceso alcanzando la misma conclusin. A pesar de que las garantas de integridad de la prueba electrnica sean generales para todo tipo de pruebas, a la hora de abordar el marco jurdico aplicable sobre cmo obtener indicios electrnicos de estas plataformas de gestin remota de la informacin de los usuarios, dnde stos vuelcan grandes volmenes de informacin eventualmente sensible en servidores pertenecientes a terceros, debemos diferenciar claramente el procedimiento legal a seguir para la obtencin de pruebas electrnicas obtenidas de entornos distribuidos de los procedimientos que se siguen para obtener pruebas de entornos controlados como se hace en la mayora de situaciones actualmente. Es importante destacar que las consideraciones jurdicas que se hagan en relacin a las pruebas electrnicas obtenidas de la computacin en la nube deben ser necesariamente analizadas desde parmetros anlogos a los realizados para el tratamiento jurdico de las pruebas obtenidas de Internet, debido a su similitud y a la falta de una regulacin especfica para esta tecnologa tan especfica.
Situacin Actual
A pesar de que es responsabilidad del investigador en la nube asegurar el cumplimiento con la legislacin y estar seguro de que los procedimientos adoptados en la obtencin de pruebas electrnicas son llevados a cabo segn los procedimientos adecuados y la jurisprudencia aplicable al caso concreto, esta labor se complica debido a las lagunas legales existentes en estos temas. La escasez de una regulacin especfica en nuestra legislacin nacional acerca de la prueba electrnica, ya sea de entornos distribuidos o de entornos controlados, hace que las normas generales relativas a la prueba apliquen de la misma forma a las pruebas electrnicas obtenidas de dispositivos electrnicos o entornos virtuales como a las pruebas que provengan de otro tipo de fuentes. 12. Anexos 133
Por otro lado, si bien es cierto que actualmente en los Tribunales espaoles se presentan y utilizan pruebas electrnicas desde hace aos para alegar, o refutar, una hiptesis, tambin es cierto que se carece an de una jurisprudencia uniforme y concreta para dicha materia. Esta incertidumbre en torno a la prueba electrnica sea en un entorno controlado o distribuido traspasa las fronteras del Estado espaol, ya que la obtencin, anlisis, presentacin y admisibilidad de estas pruebas ante los tribunales se efecta de una manera distinta en cada Estado de la Unin Europea, y no existen apenas referentes legislativos, cuestin que agrava ms an el panorama. Por lo tanto, desde el punto de vista jurdico, sin perjuicio de que no existe normativa expresa en el Ordenamiento Jurdico relativa a las pruebas electrnicas, resulta posible su aportacin a un procedimiento, ya sea como prueba documental (ej.: almacenamiento de un archivo existente en la nube) o como informe pericial (ej.: ciberinvestigacin sobre informacin subida a la nube). En efecto, los arts. 299-2 y 384-2 de la Ley de Enjuiciamiento Civil establecen que se admitirn, como medios de prueba, los medios de reproduccin de la palabra, el sonido y la imagen, as como los instrumentos que permiten archivar y conocer o reproducir palabras, datos, cifras y operaciones matemticas llevadas a cabo con fines contables o de otra clase, relevantes para el proceso. El Legislador ha intentado ser lo ms amplio posible a la hora de regular para poder aceptar cualquier medio de prueba que se pueda llevar a cabo en la sociedad y as pueda ser presentado en juicio, por muy novedoso que sea, aplicndose por lo tanto directamente a nuestro campo de estudio: la computacin en la nube. En el artculo 812-1-1 de la Ley de Enjuiciamiento Civil se regula los documentos para acceder al proceso Monitorio diciendo que cualquiera que sea su forma y clase o el soporte fsico en que se encuentren, que aparezcan firmados por el deudor o con su sello, impronta o marca o con cualquier otra seal, fsica o electrnica, proveniente del deudor, haciendo referencia, en este caso, a la prueba electrnica. Para que la prueba electrnica sea admitida en juicio, no debemos olvidar los principios de pertinencia, utilidad y legalidad establecidos en el artculo 283 de la Ley de Enjuiciamiento Civil, ni los requisitos establecidos por el artculo 256 de la misma normativa. Por lo tanto, no ser admitida ninguna prueba electrnica que haya sido obtenida vulnerando derechos fundamentales o su contenido sea una actividad prohibida por la ley. Es importante tener en consideracin a la hora de obtener pruebas electrnicas -para que stas posteriormente sean vlidas en juicio- los requisitos materiales basados en el principio de proporcionalidad, que se dividen en tres juicios: el juicio de idoneidad, el de necesidad y el de proporcionalidad. La Ley 24/2001, de 27 de diciembre, que establece modificaciones a la Ley del Notariado en su artculo 17 bis equipara la prueba electrnica a la prueba documental, igual que el artculo 24-2 de la Ley de Servicios de la Sociedad de la Informacin (LISI), que establece que el soporte electrnico en que conste un contrato celebrado por va electrnica ser admisible en juicio como prueba documental. El artculo 3-8 de la Ley 59/2003 sobre Firma Electrnica, en la versin dada por la Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Informacin establece a su vez que el soporte en que se hallen los datos firmados electrnicamente ser admisible como prueba documental en juicio. Tambin en la Exposicin de Motivos de la misma Ley se afirma que se incluye dentro de la modalidad de prueba documental el soporten en el que figuran los datos firmados electrnicamente, dando mayor seguridad jurdica al empleo de la firma electrnica al someterla a las reglas de eficacia en juicio de la prueba documental.
12. Anexos
134
En los procesos penales, el art. 26 del Cdigo Penal dispone que se considera documento todo soporte material que exprese o incorpore datos, hechos o narraciones con eficacia probatoria o cualquier otro tipo de relevancia jurdica. Por su parte, los arts. 32 y 33 de la Ley de Arbitraje ratifican los principios de libertad y flexibilidad que presiden la fase probatoria del arbitraje, de forma que permiten que se pueda aportar como prueba, una prueba electrnica en los mismos trminos que podra aportarse en un procedimiento judicial. Aunque no es propiamente objeto de nuestro estudio, no podemos dejar de mencionar la importancia que tienen en esta materia la Ley 34/2002, de Servicios de la Sociedad de la Informacin y del Comercio Electrnico (LSSI), la Ley Orgnica 15/1999, de Proteccin de Datos de Carcter Personal y la Ley de Medidas de Impulso de la Sociedad de la Informacin, que establece las obligaciones de los prestadores de servicios de la sociedad de la informacin sobre las medidas de seguridad a implementar ante posibles amenazas; y tambin la Ley 32/2003 General de Telecomunicaciones, que vela por el cumplimiento de las obligaciones en el secreto de las comunicaciones y proteccin de datos personales, as como de los derechos y obligaciones de carcter pblico vinculados con las redes y servicios de comunicaciones electrnicas, imponiendo las correspondientes sanciones por su incumplimiento. En consecuencia, segn veremos a continuacin, los presupuestos jurdicos y los protocolos utilizados para la obtencin, almacenamiento y documentacin de las pruebas electrnicas en la nube deben replicar los marcados para los mismos procedimientos preestablecidos para las pruebas electrnicas obtenidas de Internet y la problemtica jurdica radica en determinar la forma y requisitos que deben tenerse en cuenta a la hora de obtener las pruebas electrnicas que, a falta de normativa, ha de extraerse de la escasa jurisprudencia dictada por los tribunales, segn veremos a continuacin.
Anlisis de los marcos existentes para tratarlo o resolverlo

Tal y como hemos comentado anteriormente, la prueba electrnica an no est debidamente instaurada en los Tribunales espaoles, siendo habitual que se produzca la confusin entre el documento electrnico y su copia impresa, siendo frecuente que se admitan como prueba, simples impresiones (ej.: correos electrnicos), que no garantizan la integridad de la prueba, habiendo podido ser manipuladas, sobre la base de la libre disposicin de la prueba por las partes si no son impugnadas (art. 326 de la Ley de Enjuiciamiento Civil). No obstante, existe jurisprudencia sectorial que resulta de utilidad para determinar los requisitos de las pruebas electrnicas.
Jurisprudencia en el mbito penal.

Es frecuente que el objeto de la prueba electrnica sean comunicaciones electrnicas (correos electrnicos) o contenidos de pginas web publicadas en Internet (blogs, redes sociales, etc.). Con carcter general, el art. 18 de la Constitucin Espaola garantiza el derecho a la intimidad y el secreto de las comunicaciones, de forma que slo pueden verse afectados mediante resolucin judicial motivada y siempre que la medida sea idnea y proporcional a la bsqueda realizada. De esta forma, la intervencin de una comunicacin requiere que se dicte un mandamiento judicial en el seno de un procedimiento penal (arts. 579 y siguientes de la Ley de Enjuiciamiento Criminal). Debido al desarrollo de las nuevas tecnologas, el Tribunal Supremo ha equiparado el correo electrnico a las comunicaciones, en sentido amplio, de modo que las garantas establecidas en el art. 579 de la Ley de Enjuiciamiento Criminal tambin son de aplicacin a la intervencin de los correos electrnicos. De
12. Anexos
135
esta forma, se posibilita la intervencin de las comunicaciones en aplicacin de la doctrina de la Sala II del Tribunal Supremo, que establece los siguientes requisitos: a) Debe ser autorizada por la Autoridad Judicial b) Finalidad exclusivamente probatoria c) Excepcionalidad de la medida d) Proporcionalidad de la medida e) Limitacin temporal de la utilizacin de la medida f) Especialidad del hecho delictivo g) La medida recaer nicamente sobre personas indiciariamente implicadas h) Existencia previa de procedimiento de investigacin penal i) Existencia previa de indicios de la comisin del delito, y no de meras sospechas o conjeturas j) Exigencia de control judicial en la ordenacin, desarrollo y cese de la medida k) Que la resolucin judicial acordando la intervencin de las comunicaciones se halle suficientemente motivada, riguroso requisito para el sacrificio y derogacin en casos concretos de derechos fundamentales reconocidos en la Constitucin Espaola; y l) Adems, para la validez como prueba del contenido de las comunicaciones intervenidas se precisa la entrega al rgano jurisdiccional de los soportes originales donde consten las conversaciones detectadas, sin consentirse la previa manipulacin.
Jurisprudencia en el mbito laboral

La Sentencia de la Sala 4 del Tribunal Supremo de 26 de septiembre de 2007, que unifica la doctrina respecto al control empresarial de las nuevas tecnologas utilizadas por el trabajador, establece las siguientes matizaciones, que han de ser tenidas en cuenta a la hora de obtener pruebas electrnicas en el mbito laboral, ya sea un entorno corporativo que basa sus aplicaciones en servicios alojados en la nube o bien un entorno que depende del sistema operativo de cada uno de los ordenadores corporativos:(i) se han de establecer previamente las reglas de uso de los medios informticos y de comunicacin facilitados por la empresa a los trabajadores (con aplicacin de prohibiciones absolutas o parciales) y (ii) se ha de informar a los trabajadores que va a existir un control, y de los medios que han de aplicarse en orden a comprobar la correccin de los usos, as como de las medidas que han de adoptarse para garantizar la efectiva utilizacin laboral de los medios informticos y de comunicacin. Por ello, si el medio se utiliza para usos privados en contra de las prohibiciones establecidas por el empresario y con conocimiento de los controles y medidas aplicables, no podr entenderse que se ha vulnerado una expectativa razonable de intimidad, en los trminos establecidos en las Sentencias del Tribunal Europeo de Derechos Humanos de 25 de junio de 1997 y de 3 de abril de 2007.
12. Anexos
136
Tambin establece dicha Sentencia que, en aquellos casos en que la empresa no disponga de un protocolo informtico, lo que suele ser habitual, ha de tenerse en cuenta que, en el momento de obtener y analizar los documentos o datos contenidos en la nube se debern tener en consideracin los requisitos formales establecidos en el artculo 18 del Estatuto de los Trabajadores, que aplica por asimilacin el registro de la taquilla del trabajador con el anlisis de los datos contenidos en la nube. Aplicando este precepto por analoga, los registros debern realizarse en el centro de trabajo y durante el horario laboral, con la asistencia del trabajador y, en su defecto, de un representante legal de los trabajadores, o, si no hubiere, de otros trabajadores (a ser posible, con una categora profesional parecida a la del trabajador afectado).
Recomendaciones para la gestin de pruebas electrnicas en Espaa

Para asegurar la admisibilidad de la prueba electrnica en un proceso judicial o arbitral, independientemente de la arquitectura del dispositivo o entorno que la almacena, han cumplirse unos requisitos mnimos. Por ello es imprescindible que ante cualquier incidente se acuda siempre a profesionales familiarizados con este tipo de procesos y que puedan aportar el mximo de garantas de: a) Licitud: La prueba electrnica ha de obtenerse de forma lcita, sin vulnerar el derecho a la intimidad y el secreto de las comunicaciones que garantiza el artculo 18 de la Constitucin Espaola. En el caso de que sea necesario realizar una injerencia en dichos derechos para la obtencin de una prueba electrnica, sera necesaria una Resolucin Judicial expresa y motivada que lo autorizara, fundada en la existencia de sospechas de la comisin de un delito. En todo caso, hay que tener presente el art. 197 del Cdigo Penal, que regula el delito de revelacin de secretos, castigando con las penas de prisin de uno a cuatro aos y multa de doce a veinticuatro meses, al que se apodere de papeles, cartas, mensajes de correo electrnico o cualesquiera otros documentos o efectos personales de un tercero, o intercepte sus telecomunicaciones o utilice artificios tcnicos de escucha, transmisin, grabacin o reproduccin del sonido o de la imagen, o de cualquier otra seal de comunicacin, sin consentimiento. b) Autenticidad: Debe garantizarse que la prueba es autntica, es decir, que lo que se analiza es exactamente lo ocupado en la actuacin, lo que requiere que se haya realizado adecuadamente la cadena de custodia. c) Integridad: Dada la extremada mutabilidad de las pruebas electrnicas, es necesario preservar la integridad de la misma, no alterando su contenido. d) Claridad: El componente tecnolgico de la prueba electrnica hace que los expertos deban presentarla ante los tribunales de forma clara y comprensible, para que personas legas en informtica puedan comprenderla. e) Cumplimiento de los requisitos procesales: El Informe Pericial (i) debe explicar el sistema de verificacin realizado de forma suficiente para que pueda considerarse que tiene un mnimo de fiabilidad y (ii) desde un punto de vista formal, debe hacerse la advertencia que exige el art. 335-2 de la Ley de Enjuiciamiento Civil en orden a que el perito manifieste expresamente que el Informe pericial se ha emitido en base a la verdad y que ha actuado con la mayor objetividad posible, tomando en consideracin tanto lo que pueda favorecer como lo que sea susceptible de causar perjuicio a cualquiera de las partes, as como que conoce las sanciones penales en las que podra incurrir si incumpliere su deber como perito, bajo juramento de decir verdad.
12. Anexos
137
Anexo IV. Metodologas y tecnologas de auditora

Las tablas 6 Y 7 a continuacin, resumen las metodologas y tecnologas diferenciadas ms representativas, tomando en cuenta sus principales ventajas y desventajas desde una perspectiva pragmtica.
Tabla 6. Resumen de las principales metodologas y tecnologas de auditora para la computacin en la nube
Origen
Cloud Security Alliance. Basada en la Security Guidance for critical Areas of focus in Cloud Computing V2
Descripcin
Programa de auditoria enfocado en evaluar los requisitos fundamentales de seguridad en la nube. Framework que permiten evaluar el riesgo de la adopcin de servicios en la nube en base un conjunto de criterios de seguridad.
Ventajas
- Muy estructurado: 11 dominios y 108 objetivos de control. - Muy especfico para seguridad. - Ofrece una terminologa de la seguridad aplicada a la nube. - Enfocado en la toma de decisin de adoptar un servicio de computacin en la nube. - Aade aspectos fuera del mbito de la seguridad. - Basada en un framework consolidado y muy reconocido (CObIT). - Aborda la planificacin y alcance de la auditoria hasta la auditoria operativa y el gobierno de la nube. -Dispone de mtricas. - 5 Dominios -Dispone de mtricas. - Incorpora las mejores prcticas del mercado. - La existencia de mtricas facilita la comparacin entre proveedores de computacin en la nube.
Inconvenientes
- No define ninguna mtrica. - No incorpora aspectos fuera de la seguridad.
Cloud Control Matrix (CCM).
Cloud Computing Information Assurance Framework
ENISA
- mbito reducido. - No define ninguna mtrica.
Cloud Computing ManagementAudit/ Assurance Program.
ISACA - Basada en Cobit
Programa de auditoria completo y modelo de madurez sobre computacin en la nube.
- Requiere un mayor grado de adopcin por parte de los proveedores. - Posibles problemas de interoperabilidad con respecto a otras metodologas.
Cloud Assurance Maturity Model (CAMM)
ENISA. Basada en CMM, Cloud Computing Information Assurance Framework, ISO 27001,
Programa de auditoria completo y Modelo de madurez sobre computacin en la nube.
- Requiere un mayor grado de adopcin por parte de los proveedores. - Posibles problemas de interoperabilidad con respecto a otras metodologas.
Contina en pgina siguiente
12. Anexos
138
Viene de pgina anterior
Origen
Descripcin
Ventajas
- Es una autoridad reconocida para proveer los medios que permiten lograr las certezas acerca de terceras organizaciones. - SOC3 es una evolucin del AICPA/Canadian Institute of Chartered Accountants (CICA) Trust Services Principle - Se ha diseado especialmente para proveer certezas acerca de la confianza en los control de empresas orientadas a servicios, por lo cual su aplicacin a la nube es clara.
Inconvenientes
Service Organization Controls Report (SOC) Anteriormente conocido como SAS 70
AICPA
Se trata de una gua para proveer un examen altamente especializado de los controles internos de una organizacin. Los reportes obtenidos son aplicables a los modelos de servicio de la nube.
- El estndar se encuentra en una etapa muy reciente de madurez.
ISO/IEC 27001
International Standards Organisation (ISO) and International Electrotechnical Commission (IEC)
Especifica formalmente a un sistema de gestin, cuyo propsito es implementar la seguridad de la informacin basndose en controles explcitos y especficos. Los proveedores de servicios en la nube que dicen haber adoptado la ISO/ IEC 27001 pueden ser formalmente auditados, y certificados como que cumplen con el estndar. Esta certificacin ofrece garantas sobre la seguridad de la informacin a los clientes de la nube.
- Internacionalmente reconocida. - Posee una lista muy completa de controles. - El mbito de la certificacin, as como algunos datos sobre la organizacin auditora se hacen pblicos.
- El mbito de la certificacin podra llegar a ser inapropiado. - La certificacin es posible aunque existan riesgos significativos.
12. Anexos
139
A la par de las metodologas de auditora que han sido creadas especficamente para la computacin en la nube, tambin han ido surgiendo una serie de tecnologas y/o herramientas automatizadas (CAATS) que permiten auditar este tipo de sistemas. Las ms representativas se resumen en la tabla siguiente.
Tabla 7. Resumen de las principales herramientas de automatizacin de auditoras para la computacin en la nube
Tecnologa Descripcin Caractersticas
- Tiene como objetivo dar mayor transparencia a los proveedores de servicios en la nube mediante la creacin de una interfaz comn y un espacio de nombres -namespaceque permitan la automatizacin de las auditoras, aserciones, asesoramiento y garantas que ofrecen los ambientes de computacin en la nube. - Es escalable, ha sido diseado de forma que su funcionalidad pueda extenderse de acuerdo a las necesidades de los clientes. - Para que sea viable requiere de un mayor grado de adopcin por parte de los proveedores. -En su primer versin CloudAudit utiliza el modo de solo lectura (nicamente permite obtener informacin pre-generada por el proveedor), pero futuras versiones implementarn la opcin de escritura (p. ej. para solicitar un network-scan bajo demanda). - Es posible mostrar de forma irrefutable que existe un grado de cumplimiento con las polticas o legislaciones aplicables. - Esta tecnologa ha sido avalada con reconocimientos como el de The Markle Foundation Task Force on National Security in the Information Age. - Provee una certeza matemtica sobre la integridad del contenido. - Registra una secuencia inmutable de eventos que han ocurrido sobre los datos. - No se altera el contenido protegido, y sigue reteniendo su formato nativo. - Bajo overhead (por ejemplo, comparado con el uso de firmas electrnicas para cada evento). - Es posible tener una solucin solo-software de forma que provea flexibilidad, escalabilidad e interoperabilidad. - En una segunda fase, los eventos que han sido registrados se vuelven inmutables, de forma que se haga evidente cualquier modificacin no autorizada y, sea posible crear la evidencia relacionada con las modificaciones autorizadas que se hayan realizado.
CloudAudit. (anteriormente conocida como A6 - The Automated Audit, Assertion, Assessment, and Assurance API)
Define una API para facilitar los procesos de auditora en la nube, y para que los clientes puedan verificar el nivel de seguridad de su proveedor.
Immutable Audit Logs (IAL
Es una tecnologa diseada para grabar todos aquellos eventos que tienen lugar en cualquier aplicacin o ambiente que requiera compartir informacin.
12. Anexos
140
Listado de Co-Autores Report CSA

Nombre
Emilio Aced Emiliano Astudillo Jimnez Miguel ngel Ballesteros Ballesteros Miguel Luis Banegas Gallego Roberto Baratta Martnez Joan Barcel i Joaqun Mariano J. Benito Gmez Matas Bevilacqua Trabado Roberto Blanc Torres Lus Buezo Nadeem Bukhari Juan Francisco Cornago Baratech Ana Beln Galn Lpez Erwin Giza Adolfo Hernndez Lorente Francisco Javier Carbayo Vzquez Jos Manuel Carmona Lpez-Tello Ramn Codina Gianluca DAntonio Enrique Fojn Chamorro Rafael Garca del Poyo Marcos Gmez Juan Jos Huerta Daz Fredesvinda Insa Mrida Casimiro Juanes Jorge Laredo Samuel Linares Alfonso Lpez Garca
Cargo
Subdirector General de Registro de Ficheros y Consultora Manager Auditor Consultor Gerente en la Direccin de Marketing de Infraestructuras Director de Gestin Interna e Identidades Tcnico de Cumplimiento Normativo Director de Seguridad / CISO Director Tecnolgico Marketing Director Director EMEA IT Assurance VP de Product Strategy Manager Strategy Consulting Tcnico de Seguridad en la Direccion de Riesgos Tecnologicos y Seguridad Informatica Ingeniero de Sistemas y Computacin Gerente de Governance, Risk & Compliance Asociado Senior del rea de Governance, Risk & Compliance Responsable del Grupo de Seguridad. Departamento de Preventa IT Governance Auditor Chief Information Security Officer (CISO) Ingeniero Superior en Informatica | ISO 27001 Lead Auditor Abogado. Socio Director del Departamento de Derecho de las Tecnologas de la Informacin Subdirector de Programas Seguridad de Sistemas Directora de desarrollo estratgico Director Regional de Seguridad RMED IT Assurance Senior Project Manager, HP Technology Consulting Director Servicios TI y Seguridad Director de Calidad
Empresa
Agencia de Proteccin de Datos de la Comunidad de Madrid PwC PricewaterhouseCoopers Auditores, S.L. CEPSA Telefonica Grandes Clientes Novacaixagalicia CatalunyaCaixa GMV Soluciones Globales Internet CFLabs Kinamik HP Technology Services Kinamik Grupo SIA Bankinter Universidad de Los Andes Bogot, Colombia Ecija Ecija Oracle Ibrica Atmosferia Projects, S.L. Grupo FCC
Cremades & Calvo-Sotelo / Abogados Instituto Nacional de Tecnologas de la Comunicacin (INTECO) Mutua Madrilea CFLabs Ericsson Hewlett-Packard Company Intermark Tecnologas Nexica
141
Nombre
Javier Lpez Gutierrez Dr. Jess Luna Garca Mara Elena Maestre Garca Jess Miln Ramn Miralles Lpez Sergi Morales Surribas Manuel Muiz Somoza Jos Leandro Nez Garca Alfredo Oblanca Garca Laia Porcar Antonio Ramos Nathaly Rey Arenas Mario Reyes de los Mozos Mara Luisa Rodrguez Julio San Jos Snchez Carlos Alberto Siz Pea Esmeralda Saracbar Serradilla Alvaro Sastre Rodolfo Tesone Mendizabal Alejandro Tourio Vctor A. Villagr
Cargo
Socio Director de Litigation & Forensic Services Investigador Socio de Riesgos Tecnolgicos Director de Riesgos Tecnolgicos y Seguridad Informtica Coordinador de Auditoria y Seguridad de la Informacin CTO IT Security Manager Abogado Gerente de auditora y seguridad de la informacin IT Project Leader Managing Partner Directora General Investigador senior Security R&D Business Manager. | Contratacin, Evidencias Electrnicas y Auditoria en la Nube Gerente Seguridad Socio responsable del rea de GRC Governance, Risk y Compliance Gerente del rea de Governance, Risk & Compliance Planificacin y Normalizacin Director del rea Jurdico-Tecnolgica Asociado Senior del rea de Information Technology Profesor Titular de Universidad. Dpto. Ingeniera Telemtica en la E.T.S.I. Telecomunicacin
Empresa
Ecija Technische Universitt Darmstadt (Alemania) PricewaterhouseCoopers Auditores S.L. Bankinter Autoridad Catalana de Proteccin de Datos Expertos en TI Axpe Consulting
BDO ING Belgium n+1 Intelligence & Research ISMS Forum Spain Barcelona Digital Centre Tecnolgic Bankinter Ecija Ecija ONO ITGLOBAL Ecija Universidad Politcnica de Madrid (UPM)
142

Cloud Compliance Report CSA-ES PDF

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Cloud Compliance Report CSA-ES PDF

Hochgeladen von

Copyright:

Verfügbare Formate

Ini c i a ti va c oord i na da y pat r o ci n ada po r :

Clo u d Co mpli a nce Report

Los lderes de los Grupos de Trabajo

Cloud Compliance Report

Captulo Espaol de Cloud Security Alliance

Cloud Compliance Report

Captulo Espaol de Cloud Security Alliance

70 70 70 71 72 81 83 85 88 88 90 91 91 92 93 93 94 96 97 99 101 102 105 105 105 106 108 111

Cloud Compliance Report

Captulo Espaol de Cloud Security Alliance

Cloud Compliance Report

Captulo Espaol de Cloud Security Alliance

Cloud Compliance Report

Captulo Espaol de Cloud Security Alliance

Cloud Compliance Report

Captulo Espaol de Cloud Security Alliance

Introduccin y justificacin del estudio

2. Introduccin y justificacin del estudio

Cloud Compliance Report

Captulo Espaol de Cloud Security Alliance

Contenido del documento

3. Contenido del documento

Cloud Compliance Report

Captulo Espaol de Cloud Security Alliance

La estructura resultante es la que puede apreciarse en el grfico adjunto (Ilustracin 1).

Ilustracin 1. Organizacin del contenido del documento

8. Evidencias digitales Validacin 9. Auditora

3. Contenido del documento

Cloud Compliance Report

Captulo Espaol de Cloud Security Alliance

Ilustracin 2. Estructura de los captulos

3. Contenido del documento

Cloud Compliance Report

Captulo Espaol de Cloud Security Alliance

Cumplimiento legislativo en materia de Privacidad

Application Programming Interface

4. Cumplimiento legislativo en materia de Privacidad

Cloud Compliance Report

Captulo Espaol de Cloud Security Alliance

4.1.1 Estados Unidos

4. Cumplimiento legislativo en materia de Privacidad

Cloud Compliance Report

Captulo Espaol de Cloud Security Alliance

4.1.3 Safe Harbor Principles

4.1.4 Marco APEC2

4. Cumplimiento legislativo en materia de Privacidad

Cloud Compliance Report

Captulo Espaol de Cloud Security Alliance

4.1.5 Habas Data

4.2 Contenido del captulo

4. Cumplimiento legislativo en materia de Privacidad

Cloud Compliance Report

Captulo Espaol de Cloud Security Alliance

4. Cumplimiento legislativo en materia de Privacidad

Cloud Compliance Report

Captulo Espaol de Cloud Security Alliance

4.3 Legislacin aplicable3 4.3.1 Descripcin general4

4. Cumplimiento legislativo en materia de Privacidad

Cloud Compliance Report

Captulo Espaol de Cloud Security Alliance

4.3.2 Aspectos ms relevantes

4.3.3 Legislacin aplicable

4. Cumplimiento legislativo en materia de Privacidad