Notas sobre las principales cuestiones relacionadas con los contratos de computación en la nube (preparada por la secretaría de la CNUDMI, 2019)
180907-N-BK152-003 by NSWC Crane Corporate Communications is in the public domain
Glosario
Normativa propia de cada sector | ||||
Soluciones de nube genéricas y estandarizadas para múltiples suscriptores |
||||
|
Acuerdo de prestación de servicios (SLA): parte del contrato de computación en la nube celebrado entre el proveedor y el cliente en la que se describen los servicios de computación en la nube comprendidos en el contrato y los parámetros a que se espera o se exige que se ajusten esos servicios de conformidad con el contrato (véase la definición de parámetros cuantitativos y cualitativos).
Aprovechamiento de los husos horarios (“follow the sun”): modelo en que el volumen de trabajo se distribuye entre diferentes lugares geográficos para equilibrar los recursos y la demanda de manera más eficiente. El propósito de este modelo puede ser prestar los servicios de manera ininterrumpida y reducir al mínimo la distancia media entre los servidores y los usuarios finales a fin de disminuir la latencia y aumentar al máximo la velocidad de transmisión de los datos entre un dispositivo y otro (velocidad de transferencia de datos o caudal de datos).
Auditoría: proceso consistente en examinar el cumplimiento de los requisitos legales y contractuales o de normas técnicas. Puede abarcar aspectos técnicos, como la calidad y la seguridad de los equipos físicos y los programas informáticos; el cumplimiento de la normativa aplicable al sector; y la existencia de medidas adecuadas, como el aislamiento, para impedir el acceso no autorizado al sistema o el uso del sistema sin autorización y garantizar la integridad de los datos. La auditoría puede ser interna o externa, o llevarse a cabo por un tercero independiente nombrado por el proveedor, el cliente o ambos. En el acuerdo de prestación de servicios (SLA) pueden establecerse parámetros cuantitativos y cualitativos específicos relacionados con la auditoría, por ejemplo, que un auditor independiente certifique, al menos una vez al año, que los servicios prestados en virtud del contrato cumplen una norma de seguridad indicada en el propio contrato.
Colaboradores de los servicios de computación en la nube (por ejemplo, auditores de servicios de nube, intermediarios de servicios de nube o integradores de sistemas): personas que colaboran en las actividades del proveedor, del cliente o de ambos, prestando servicios auxiliares o de apoyo a esas actividades. Los auditores de servicios de nube realizan la auditoría de la prestación y utilización de los servicios de computación en la nube. Los intermediarios de servicios de nube o los integradores de sistemas prestan asistencia a las partes en relación con una amplia gama de cuestiones, por ejemplo, para encontrar la solución de nube más adecuada, negociar condiciones aceptables y migrar los datos y contenidos del cliente a la nube.
Datos obtenidos de los servicios de nube: datos bajo el control del proveedor que se obtienen como resultado de la utilización por el cliente de los servicios de computación en la nube de ese proveedor. Entre ellos figuran los metadatos y otros registros de datos generados por el proveedor que contienen información sobre quién utilizó los servicios, durante qué períodos y cuáles fueron las funciones y los tipos de datos utilizados. También pueden abarcar la información relativa a los usuarios autorizados, sus datos identificadores y cualquier configuración, personalización o modificación que se haga de esa información.
Datos personales: datos confidenciales y no confidenciales que pueden utilizarse para identificar a la persona física a la que se refieren esos datos. La definición de datos personales en algunas jurisdicciones puede abarcar cualquier dato o información directa o indirectamente vinculada o relacionada con una persona que haya sido o pueda ser identificada (véase la definición de sujeto de los datos).
Dependencia (“lock-in”): situación en que el cliente depende de un único proveedor porque el costo de cambiar a otro sería demasiado alto. En este contexto, el costo debe entenderse en el sentido más amplio posible, de modo que abarque no solo el costo económico, sino también el costo en términos de esfuerzo, tiempo y relaciones.
Derechos de los sujetos de los datos: derechos vinculados a los datos personales de los sujetos de los datos. La ley puede otorgar a los sujetos de los datos el derecho a ser informados de todos los hechos importantes que guarden relación con sus datos personales, como la ubicación de esos datos, su utilización por terceros, la filtración de datos u otras violaciones de los datos. Los sujetos de los datos también pueden tener derecho a acceder en cualquier momento a sus datos personales, a que esos datos se eliminen (en virtud del derecho al olvido), a restringir su procesamiento y a que se les garantice la portabilidad de dichos datos.
Eliminación de datos: secuencia de operaciones diseñadas para borrar datos de forma irreversible, incluidas sus copias de seguridad, metadatos y otros contenidos de la infraestructura (física y virtual) de computación en la nube. En algunos casos puede ser necesario, para eliminar los datos, destruir la infraestructura física (por ejemplo, los servidores) en que se almacenaron. En el acuerdo de prestación de servicios (SLA) puede establecerse un parámetro cuantitativo o cualitativo específico aplicable a la eliminación de datos, por ejemplo, que el proveedor garantice que los datos del cliente se eliminen de manera efectiva, irrevocable y permanente cuando este lo solicite, en un plazo establecido en el contrato y de conformidad con la norma o el método indicados en él.
Escrito o por escrito: información que sea accesible de modo que pueda utilizarse para su ulterior consulta. Abarca tanto la información que figure en papel como la información contenida en una comunicación electrónica. “Accesible” significa que la información en formato electrónico debe poder leerse e interpretarse, y que los programas informáticos necesarios para que esa información pueda leerse deben conservarse. La posibilidad de “utilizar” la información se refiere tanto a su utilización por el ser humano como a su procesamiento informático.
Incidente de seguridad: hecho que indica que se ha quebrantado la seguridad del sistema o de los datos o que han fallado las medidas adoptadas para protegerlos. Un incidente de seguridad altera el funcionamiento normal del sistema. Son ejemplos de incidentes de seguridad los intentos de acceso no autorizados al sistema o a los datos, la interrupción imprevista de un servicio o la denegación de un servicio, el procesamiento o el almacenamiento no autorizados de datos y los cambios no autorizados en la infraestructura del sistema.
Infraestructura como servicio (IaaS): tipos de servicios de computación en la nube que permiten al cliente obtener y utilizar recursos de procesamiento, de almacenamiento o de redes. El cliente no administra ni controla los recursos virtuales ni los recursos físicos subyacentes, pero tiene el control de los sistemas operativos, el almacenamiento y las aplicaciones instaladas que utilizan esos recursos. Además, la capacidad del cliente de controlar determinados componentes de la red (por ejemplo, los cortafuegos locales) puede estar limitada.
Interoperabilidad: capacidad de dos o más sistemas o aplicaciones para intercambiar información entre sí y utilizar esa información.
Latencia: demora entre la solicitud del usuario y la respuesta del proveedor. Afecta a la utilidad real de los servicios de computación en la nube. En el acuerdo de prestación de servicios (SLA), la latencia suele expresarse en milisegundos.
Licencias de propiedad intelectual (PI): acuerdos celebrados entre un titular de derechos de PI (el licenciante) y una persona autorizada a utilizar esos derechos de PI (el licenciatario). En esos acuerdos se suelen imponer restricciones y obligaciones con respecto a la medida y la forma en que el licenciatario o los terceros pueden utilizar la propiedad intelectual objeto de la licencia. Por ejemplo, se pueden conceder licencias para que se haga un uso específico de determinados programas informáticos y contenido visual (diseños, planos e imágenes), con la prohibición de realizar copias, modificaciones o mejoras de dichos programas y contenido y limitando su utilización a un determinado soporte. Las licencias pueden concederse exclusivamente para un mercado en particular (por ejemplo, nacional o (sub)regional) o un cierto número de usuarios o dispositivos, o por un plazo determinado. Es posible que no se permita conceder sublicencias. El licenciante puede exigir que cada vez que se utilicen los derechos de PI se mencione al titular de esos derechos.
Metadatos: información básica sobre los datos (como su autor, fecha y hora de creación y de modificación y el tamaño del archivo). Hacen que resulte más sencillo encontrar y utilizar los datos y pueden ser necesarios para garantizar la autenticidad de los registros. Pueden ser generados por el cliente o el proveedor.
Modelos de despliegue: diversas formas de organizar los servicios de computación en la nube sobre la base del control y el uso compartido de los recursos físicos o virtuales. Cabe mencionar los siguientes:
a) modelo de nube pública, en que los servicios de computación en la nube pueden estar a disposición de cualquier cliente interesado en ellos, y el control de los recursos es ejercido por el proveedor;
b) modelo de nube compartida, en que los servicios de computación en la nube se prestan exclusivamente a un determinado grupo de clientes relacionados entre sí y con necesidades comunes, y el control de los recursos es ejercido por al menos uno de los miembros de ese grupo;
c) modelo de nube privada, en que un único cliente utiliza los servicios de computación en la nube y ejerce el control de los recursos;
d) modelo de nube híbrida, en que se utilizan por lo menos dos modelos diferentes de despliegue en la nube.
Normativa propia de cada sector: normas aplicables a los sectores financiero, sanitario, público u otros sectores o profesiones concretos (por ejemplo, las normas relativas al secreto profesional que deben guardar los abogados y los médicos) y al manejo de la información de carácter reservado (entendida en sentido amplio como la información a la que, por disposición de una ley o un reglamento, solo pueden acceder determinadas categorías de personas).
Objetivos de punto de recuperación (RPO): período máximo anterior a una interrupción imprevista de los servicios durante el cual pueden perderse los cambios realizados en los datos como consecuencia de la recuperación. Si el período establecido como RPO en el contrato abarca las dos horas anteriores a la interrupción de los servicios, ello significa que tras la recuperación se podrá acceder a todos los datos en la forma en que existían dos horas antes de producirse la interrupción.
Objetivos de tiempo de recuperación (RTO): plazo máximo en que deben recuperarse todos los datos y servicios de computación en la nube a partir de que se produzca una interrupción imprevista.
Parámetros cuantitativos y cualitativos: parámetros cuantitativos (con objetivos, indicadores o rangos de valores numéricos de funcionamiento) o cualitativos (con garantías de calidad de los servicios). Pueden medir la conformidad con las normas aplicables, incluida la fecha de vencimiento de los certificados de conformidad (por ejemplo, que el proveedor haya aplicado una política de administración de claves en cumplimiento de las normas internacionales indicadas en el contrato). Para que tengan sentido, los parámetros deberían permitir al cliente evaluar, de manera sencilla y verificable, los aspectos del funcionamiento de los servicios que sean importantes para él. Pueden ser diferentes en función de los riesgos y las necesidades del negocio (por ejemplo, la importancia crítica de determinados datos, servicios o aplicaciones y las correspondientes prioridades de recuperación). Por ejemplo, un sistema no esencial diseñado para utilizar la nube con fines de archivo no necesitará el mismo período de disponibilidad ni las mismas condiciones previstas en el acuerdo de prestación de servicios (SLA) que las operaciones esenciales o las operaciones en tiempo real.
Período de disponibilidad de los servicios: tiempo durante el cual es posible acceder a los servicios de computación en la nube y utilizarlos. Puede expresarse como una cantidad o un porcentaje, una fórmula detallada, o fechas concretas o días y horas específicos en que la disponibilidad del servicio correspondiente a una determinada aplicación resulta crítica.
Período de interrupción o corte de los servicios: tiempo durante el cual los servicios de computación en la nube no están a disposición del cliente. Ese tiempo no se tiene en cuenta en el cálculo del período de disponibilidad. El tiempo dedicado a las tareas de mantenimiento y actualización se suele incluir en el período de interrupción de los servicios. El período de interrupción o corte de los servicios puede definirse en el acuerdo de prestación de servicios (SLA) como el número de cortes permitidos de determinada duración en un lapso dado (por ejemplo, no más de un corte diario de una hora de duración y que no se produzca entre las 8.00 y las 17.00 horas).
Permanencia del almacenamiento de los datos: probabilidad de que los datos almacenados en la nube no se pierdan durante el período de vigencia del contrato. Puede indicarse en el contrato como un objetivo mensurable que el cliente utilizará para evaluar las medidas adoptadas por el proveedor para garantizar que los datos permanezcan almacenados (por ejemplo, datos intactos/datos intactos + datos perdidos en un período determinado (por ejemplo, un mes natural)). Convendría definir en esa fórmula el tipo de datos (por ejemplo, archivos, bases de datos, códigos, aplicaciones) y la unidad de medida (el número de archivos, la longitud de bits).
Plataforma como servicio (PaaS): tipos de servicios de computación en la nube que permiten al cliente desplegar, administrar y ejecutar en la nube aplicaciones creadas o adquiridas por él utilizando al menos uno de los lenguajes de programación y entornos de ejecución ofrecidos por el proveedor.
Política de uso aceptable (PUA): parte del contrato de computación en la nube celebrado entre el proveedor y el cliente en la que se definen los límites del uso que podrán hacer el cliente y sus usuarios finales de los servicios de computación en la nube previstos en el contrato.
Portabilidad: capacidad de transferir datos, aplicaciones y otros contenidos de un sistema a otro fácilmente (es decir, a bajo costo, con el menor trastorno posible y sin necesidad de volver a introducir datos, reorganizar procesos o reprogramar aplicaciones). Esto podría lograrse si fuera posible recuperar los datos en un formato que fuese aceptado por otro sistema o mediante una transformación sencilla y directa utilizando herramientas que estén disponibles normalmente. En el acuerdo de prestación de servicios (SLA) pueden establecerse parámetros cuantitativos y cualitativos específicos relacionados con la portabilidad, por ejemplo, que el cliente pueda recuperar sus datos mediante un único enlace de descarga o interfaces de programación de aplicaciones (API) documentadas; o que el formato de los datos esté suficientemente estructurado y documentado para permitir que el cliente los vuelva a utilizar o los reestructure en un formato diferente, si así lo desea.
Procesador de los datos: persona que procesa los datos en nombre del responsable de los datos.
Procesamiento de datos personales: la recopilación, el registro, la organización, el almacenamiento, la adaptación o la alteración, la recuperación, la consulta, la utilización, la revelación por transmisión, la difusión o cualquier otra forma de puesta a disposición, alineación o combinación, bloqueo, eliminación o destrucción de datos personales.
Programas informáticos como servicio (SaaS): tipos de servicios de computación en la nube que permiten al cliente utilizar las aplicaciones del proveedor en la nube.
Representante de la insolvencia: persona u órgano autorizado en un procedimiento de insolvencia para administrar la reorganización o la liquidación de los bienes del deudor insolvente sometidos a dicho procedimiento.
Requisitos de ubicación de los datos: requisitos relativos a la ubicación de los datos y otros contenidos, de los centros de datos, o del proveedor. Pueden entrañar la prohibición de alojar o trasladar determinados datos (como los metadatos y las copias de seguridad) dentro o fuera de una zona o jurisdicción determinada, o la obligación de obtener previamente la autorización de un órgano estatal competente para poder hacerlo. Suelen estar previstos en las leyes y reglamentos sobre protección de datos, que pueden establecer en particular la prohibición de alojar datos personales en jurisdicciones que no respeten determinadas normas de protección de datos personales, o de trasladar datos personales a esas jurisdicciones.
Responsable de los datos: persona que determina los objetivos y medios que han de emplearse para procesar datos personales.
Reversibilidad: proceso mediante el cual el cliente puede recuperar de la nube sus datos, aplicaciones y otros contenidos conexos y que permite al proveedor eliminar los datos y otros contenidos conexos del cliente una vez vencido el plazo acordado.
Servicios de computación en la nube: servicios en línea con las siguientes características:
a) acceso amplio a la red: significa que es posible acceder a los servicios a través de la red desde cualquier lugar en que la red esté disponible (por ejemplo, a través de Internet), utilizando muy diversos dispositivos, como teléfonos móviles, tabletas y computadoras portátiles;
b) sujetos a medición: significa que se puede llevar un registro de los recursos utilizados y cobrarlos en función de su uso (conforme a un régimen de pago por uso);
c) arrendamiento múltiple: asignación de recursos físicos y virtuales a múltiples usuarios cuyos datos se encuentran aislados, de manera que ninguno de ellos pueda acceder a los datos de los demás;
d) autoservicio a pedido: significa que el cliente utiliza los servicios cuando los necesita, de manera automática o con una interacción mínima con el proveedor;
e) elasticidad y escalabilidad: capacidad de ampliar o reducir rápidamente el consumo de los servicios en función de las necesidades del cliente, teniendo en cuenta las grandes tendencias en la utilización de los recursos (por ejemplo, los efectos estacionales);
f) combinación de recursos: posibilidad de que el proveedor reúna recursos físicos o virtuales para atender a uno o más clientes sin que estos controlen los procesos involucrados o tengan conocimiento de ellos;
g) amplia gama de servicios: abarca desde el suministro y la utilización de la conectividad y los servicios informáticos básicos (como el almacenamiento, el correo electrónico y las aplicaciones de oficina), hasta el suministro y la utilización de la gama completa de la infraestructura física de tecnología de la información (como servidores y centros de datos) y los recursos virtuales necesarios para que el cliente construya sus propias plataformas de tecnología de la información, o despliegue, administre y ejecute las aplicaciones o los programas informáticos creados o adquiridos por él. La infraestructura como servicio (IaaS), la plataforma como servicio (PaaS) o los programas informáticos como servicio (Saas) son tipos de servicios de computación en la nube.
Servicios estratificados de computación en la nube: servicios en que el proveedor no es propietario de la totalidad o algunos de los recursos de computación que utiliza para prestar los servicios de computación en la nube a sus clientes, sino que él es, a su vez, cliente de la totalidad o algunos de los servicios de computación en la nube. Por ejemplo, el proveedor de servicios de tipo PaaS o SaaS puede utilizar infraestructura de almacenamiento y servidores (centros de datos, servidores de datos) de propiedad de otra entidad o suministrados por otra entidad. Como resultado de ello, en la prestación de los servicios de computación en la nube al cliente podrían participar uno o más subproveedores. Es posible que el cliente no sepa qué proveedores o subproveedores participan en la prestación de los servicios en un momento dado, lo que hace difícil determinar y gestionar los riesgos. Los servicios estratificados de computación en la nube son comunes, especialmente en la modalidad SaaS.
Soluciones de nube genéricas y estandarizadas para múltiples suscriptores: servicios de computación en la nube prestados a un número ilimitado de clientes como producto masivo o básico en condiciones uniformes y no negociables determinadas por el proveedor. En este tipo de soluciones es habitual encontrar cláusulas que liberan o eximen ampliamente de responsabilidad al proveedor. El cliente quizás pueda comparar diferentes proveedores y sus contratos y seleccionar, entre los disponibles en el mercado, aquel que más se adecue a sus necesidades, pero no puede negociar el contrato.
Sujeto de los datos: persona física cuya identidad puede determinarse, directa o indirectamente, a través de los datos, por ejemplo, por referencia a datos identificadores como el nombre, un número de identificación, la ubicación y otros factores relacionados con la identidad física, genética, mental, económica, cultural o social de la persona. En varias jurisdicciones, las normas sobre protección o privacidad de los datos confieren a los sujetos de los datos determinados derechos sobre los datos que permiten identificarlos. Esas normas pueden dar lugar a que se incluyan parámetros cuantitativos y cualitativos específicos sobre la protección de datos en el acuerdo de prestación de servicios (SLA), por ejemplo, que un auditor independiente certifique, al menos una vez al año, que los servicios prestados en virtud del contrato cumplen la norma sobre protección o privacidad de los datos indicada en el propio contrato. (Véanse también las definiciones de derechos de los sujetos de los datos y datos personales).
Tiempo de respuesta inicial: tiempo transcurrido entre la comunicación de un incidente por el cliente y la respuesta inicial del proveedor.