Continuando con la serie de Puntos clave para la selección de aplicaciones de negocio SaaS llegamos al tema, nada trivial por los aspectos legales y de procedimiento que hay detrás, de la seguridad y privacidad. Vaya por delante que trasciende el propósito de este artículo hacer una descripción exhaustiva de la legislación que debe aplicarse, y como no tengo la formación ni la experiencia en temas legales requerida para ello, me limitaré a los aspectos técnicos y operativos y a proporcionar una lista de elementos a contrastar con el proveedor, que he podido recopilar.
Dicho de forma muy sintetizada: hay que asegurarse de que nuestros datos sensibles (entendiendo como sensibles, datos de tipo personal o los propios secretos de la empresa) van a ser almacenados y tratados de una forma que se cumpla la legislación vigente en materia de privacidad y seguridad, lo que acabará afectando a cualquier elemento del servicio relacionado con:
- Ubicación de los datos
- Seguridad de acceso y almacenamiento
- Tratamiento automatizado
Concretamente, tendremos que comprobar (y que se refleje de alguna manera en el contrato con el proveedor) al menos lo siguiente:
¿Realmente nuestro proveedor SaaS va tener que almacenar/tratar datos sensibles?
Datos personales, según se definan en la legislación vigente, que nos comprometen como empresa y para los que hay diversos niveles de sensibilidad- No es lo mismo una nómina que una factura, y ya no digamos datos médicos de un empleado.
Datos propios de la empresa «secretos»: propiedad intelectual, i+d, fórmulas, listas de inversores :),
Será una tarea clave la identificación de estos datos y los controles que deberemos acordar con el proveedor para garantizar el cumplimiento, tanto de nuestros requisitos de seguridad como el de los legales.
¿Cuál es la ubicación de los servidores?
En la legislación española sobre datos de caracter personal, si los servidores van a estar fuera de las fronteras españolas aplica el concepto de «transferencia internacional» de los datos, lo que obliga a comprobar que el país destino está «homologado» por las autoridades españolas como ubicación «aceptable». Actualmente es aceptado cualquier país del Espacio Económico Europeo o de aquellos que la Agencia de Protección de Datos tiene en su lista de Países con un nivel adecuado de protección. Atención también a los proveedores de nuestro proveedor.
¿Qué tipo de seguridad, física, respaldo, procedimientos, acceso a servidores, etc. tiene activada el proveedor?
Sin ánimo de extenderme en este tema, el proveedor debería poder mostrar qué medidas de seguridad tiene implementadas. Lo más fácil es que pueda acreditar tales medidas mediante certificaciones del tipo ISO27001, SAS 70 type II o equivalente y que pase las auditorías específicas pertinentes que marcan esas certificaciones.
¿Cómo se accede y «viajan» los datos?
¿El acceso, presumiblemente vía Web, es seguro,vía https/SSL o VPN, o equivalente? ¿Se cifran los datos sensibles, que lo requieran, al viajar y ser almacenados?
¿Quién puede acceder y tratar los datos sensibles?
Aparte del proveedor principal, ¿hay subcontratados o terceros que pueden acceder y/o tratar nuestros datos?
Debe tenerse en cuenta que es posible que nuestro proveedor SaaS esté utilizando recursos e infraestructuras de terceros, por ejemplo una aplicación que corra en los servidores de Amazon. Obviamente tendremos que conocer hasta el final la cadena de proveedores y tenerlo en cuenta en el contrato (por ejemplo que sea necesaria la autorización previa para cualquier subcontratación o cesión del servicio a un tercero por parte de nuestro proveedor SaaS)
¿Como nos afecta la legislación específica, por ejemplo la LOPD en el caso de España?
Es fundamental conocer que lo habitual es que de acuerdo a la legislación, el responsable último es siempre la empresa, por lo que se deberá acotar muy bien en el contrato, aparte de todo lo mencionado anteriormente, los límites y salvaguardas en el tratamiento de los datos: fines de ese tratamiento, como se devolverán y destruirán, etc.
…y si, los seguramente super-exigentes, abogados del BBVA no ven ningún problema en que información tan sensible como la que manejan los empleados del banco esté en la nube… qué podemos decir aquí.
Para acabar, recomiendo la lectura de estos enlaces a quien quiera meterse en más detalle:
- Reforma/actualización que propone la Comisión Europea sobre el marco de 1995
- LOPD y Cloud Computing:
- Consulta pública de la Agencia Española de Protección de Datos sobre Cloud Computing (es posible que este enlace caduque, si es así buscar en la misma Web
- Guía Cloud del Instituto Nacional de Tecnologías de la comunicación INTECO
- Aspectos contractuales y marco regulador del cloud computing
- Un ejemplo de condiciones de privacidad de un proveedor (SalesForce)
- Un ejemplo de disponibilidad (Netsuite)
- Lista de países considerados «Seguros»
El resto de la serie y otras entradas relacionadas: Selección de aplicaciones de negocio SaaS. Puntos clave