Download Hiscox global technology news

page
1
page
2
page
3
page
4
page
5
page
6
page
7
page
8
page
9
page
10
page
11
page
12
page
13
page
14
page
15
page
16
page
17
page
18
page
19
page
20
page
21
page
22
page
23
page
24
Document related concepts
no text concepts found
Transcript 
Hiscox global
technology news
INFORMÁTICA DE NUBE
EN EL INTERIOR
VIOLACIÓN DE DATOS EN LA
NUBE
PROBLEMAS DE TRASPASO Y
LOS RIESGOS EN LA NUBE
INCIDENCIAS Y SINIESTROS
FUNDAMENTALES EN LA NUBE
QUE SON ASEGURABLES
Número 1
Primavera
ÍNDICE
01:VIOLACIÓN DE DATOS EN LA NUBE
02:PROBLEMAS DE TRASPASO Y LOS
RIESGOS EN LA NUBE
03:INCIDENCIAS Y SINIESTROS
FUNDAMENTALES EN LA NUBE
QUE SON ASEGURABLES
2
Introducción
Bienvenido al primer número de Hiscox
Global Technology News.
Cuando decidimos publicar un boletín
periódico, queríamos contar con los
mejores especialistas para tratar temas que
afectan al sector, y que son de interés para
las empresas de tecnología, usuarios de
tecnología y consultores. Cada trimestre,
Hiscox Global Technology News reunirá
a autores de todo el mundo para que
presenten sus opiniones punteras sobre
temas de actualidad de carácter técnicojurídico que son de interés para un público
extenso.
Por tanto, no hay mejor tema para
comenzar, que la informática de nube.
Mucho se ha escrito sobre este tema
durante los últimos meses, en gran
medida intentando definir exactamente
qué es la informática de nube. En realidad
es un concepto relativamente sencillo
que probablemente se haya vuelto más
complejo de lo necesario.
Al margen de ese debate, existen muchas
ventajas y también riesgos asociados con
la nube; y aún está pendiente conseguir
un equilibrio óptimo entre los riesgos del
proveedor de nube y del cliente.
las respuestas de ambas partes a dicho
cambio lo que ha servido de inspiración
para este primer número de Hiscox Global
Technology News
Nos hemos centrado en tres áreas de
interés: la violación de datos en las nubes,
los problemas de traspaso y agregación
de riesgos en la nube; y las incidencias y
siniestros fundamentales en la nube que
son asegurables.
Estamos encantados de haber recibido
el apoyo de nuestra red mundial de
abogados especializados en tecnología, y
nuestros colaboradores han escrito sobre
las cuestiones más generales además del
impacto de la normativa legal local. En este
número, nuestros expertos escriben desde
EE.UU., Alemania y Reino Unido.
Desde Hiscox les agradecemos su
colaboración y que nos permitan compartir
estos conocimientos con todos nosotros.
Esperamos que sea de su completo interés.
Jorge Cabellos
Es precisamente este cambio en la balanza
de riesgos entre cliente y proveedor y
3
CLOUD COMPUTING
01: Violación de
datos en las nubes
David Navetta, Esq., CIPP
Partner, InfoLawGroup LLP
A medida que nos adentramos en 2011, debe resultar obvio que la informática
de nube no es una moda pasajera, sino un modelo informático cada vez más
generalizado. La informática de nube ofrece un sinfín de ventajas: eficiencia,
escalabilidad, rentabilidad, etc. Sin embargo, estas ventajas deben ser valoradas
frente al control que las compañías pueden perder con respecto a sus operaciones
informáticas, ya que dependen de que un proveedor de nube se encargue de dar
servicio. Los problemas que surgen de esta pérdida de control son evidentes cuando
se consideran tanto la respuesta como la responsabilidad por violación de datos en
la nube.
“Las operaciones
de infraestructuras
informáticas
siempre están
sometidas
a riesgos
específicos.”
4
01:
VIOLACIÓN DE DATOS EN LAS NUBES
5
CLOUD COMPUTING
Los retos de la violación de datos en la
nube
Cuando el cliente pone sus datos sensibles
en la red, éste depende íntegramente de los
procesos de seguridad y la capacidad de
respuesta del proveedor ante incidencias
para responder en caso de violación de
datos. Esta situación plantea muchos
problemas básicos.
¿Los ‘intereses’ de quién deben primar?
Cuando una entidad que maneja sus
propios datos sufre una violación de los
mismos, está claro que investigará la
incidencia de forma que primen sus propios
intereses. Tiene control de sus sistemas y
los datos alojados en los mismos, y puede
tomar decisiones que sirvan para proteger
sus intereses desde la perspectiva mercantil
y de responsabilidad. Entra en escena la
nube. Si el proveedor de nube sufre una
violación de datos donde peligren los
datos de sus clientes, es posible que sus
intereses no estén alineados con los de
sus clientes (y a menudo no lo están). En la
medida en que el proveedor de servicios se
enfrenta a posibles responsabilidades, su
manejo de la situación de violación podrá
favorecer a sus propios intereses.
Es posible que los clientes de nube no
tengan control ni acceso a sistemas que
normalmente les correspondería para poder
“Ceder el
control sobre el
procesamiento
de datos es una
decisión muy seria.”
6
investigar, recabar pruebas y subsanar
una violación de datos. Es posible que
los proveedores de servicios sean reacios
a comunicar ciertas informaciones a sus
clientes para protegerse a sí mismos.
Asimismo, dado que muchas nubes dan
servicio a diversos clientes usando los
mismos ordenadores o redes, es posible
que los proveedores den un trato preferente
a algunos clientes en perjuicio de otros. El
cliente mayor, más importante y lucrativo
podría recibir un trato favorable en perjuicio
de ‘clientes menores’ caso de producirse
una violación de seguridad.
Cómo responder ante incidencias en las
nubes
Otro reto importante en la violación de
datos en la nube es el propio procedimiento
de respuesta ante incidencias del
proveedor. Cuando vayan a entrar en
la nube, los clientes deben investigar
los procedimientos de respuesta ante
incidencias de su proveedor de nube, de
forma que sepan cómo van a manejarse
las violaciones de datos. ¿Qué constituye
una violación de datos? ¿Qué métodos
y tecnologías existen para impedir y
detectar las violaciones de seguridad?
¿Cómo investiga el proveedor de nube
las violaciones, y según qué criterios se
‘escalan’ las violaciones más graves para
su manejo de forma apropiada en función
de su nivel de riesgo? Las empresas
que se dedican a este análisis deben
analizar sus propias políticas internas y
compararlas con las políticas del proveedor
de nube para asegurarse de que encajan.
Además, es vital que se combinen las
políticas de respuesta ante incidencias
del proveedor y el cliente de la forma
más uniforme posible. La respuesta ante
incidencias del proveedor de servicios
debe estar integrada con con los contactos
fundamentales del cliente, de forma que
01:
VIOLACIÓN DE DATOS EN LAS NUBES
este reciba la información que necesite
para iniciar sus propios procedimientos de
respuesta ante incidencias (de hecho, si
el plan de respuesta ante incidencias es
bueno, tendrá en cuenta la coordinación y
cooperación del proveedor de servicios).
Investigaciones forenses y eDiscovery
en la nube
Un tercer reto se refiere a la habilidad del
cliente de llevar a cabo investigaciones
forenses cuando su proveedor de
nube sufra una violación de datos. Si
se produce una violación internamente
en las instalaciones del cliente, no es
infrecuente que el cliente contrate los
servicios de una empresa forense (o
que utilice recursos internos), para que
lleve a cabo una investigación forense
de la violación de datos. El motivo de la
investigación forense podrán variar, pero
a menudo incluye analizar el origen de la
violación y eliminar los factores causantes
de la misma, determinando qué datos han
sido afectados y midiendo el alcance de
la exposición de la entidad. También se
buscan, recopilan y conservan datos que
pueden ser pertinentes para los propósitos
de investigación electrónica o pruebas
electrónicas en un procedimiento judicial.
La información obtenida en la investigación
forense es de vital importancia en muchas
situaciones de violación de datos. Por
ejemplo, podría ser necesario llevar a cabo
una evaluación forense para que la empresa
determinara (o limitara) sus obligaciones
de notificación de violación si se hubiera
expuesto información de carácter
personal. La información recopilada en una
evaluación forense será vital para la defensa
en un litigio, o para presentar una demanda
judicial contra otra parte. Si la información
era delicada, como los números de
tarjetas de pago, puede que al cliente se
le exija permitir que un Qualified Incident
Response Assessor (seleccionado por VISA
o Mastercard) lleve a cabo una evaluación
forense de los sistemas violados. Si esto
no se hace, la empresa podrá incurrir en
multas y penalizaciones severas, pudiendo
incluso perder su capacidad de aceptar
tarjetas de pago.
Más aún, si no se conservan los datos
forenses puedan tener relevancia en un
procedimiento judicial puede perjudicar
la capacidad de la entidad de defenderse
judicialmente.
Normalmente, las evaluaciones forenses
exigen que sean investigadores los
que accedan in situ a los ordenadores
atacados, y las medidas adoptadas por
la investigación forense para adquirir y
obtener datos puede interrumpir o impedir
el funcionamiento de los sistemas
Así, en el contexto de la nube, el proveedor
podría dejar a sus clientes sin acceso (física
o remotamente) a sus servidores o de otra
forma llevar a cabo una inspección forense
de sus sistemas tras producirse una
violación de datos. Algunos proveedores
de nube son de la opinión de que, dado
que sus servidores los comparten varios
interesados, la adquisición forense de datos
de esos servidores expondría la información
confidencial de los clientes del proveedor
7
CLOUD COMPUTING
(posiblemente incumpliendo un convenio de
no divulgación u otras obligaciones legales
de confidencialidad), o repercutiría en la
disponibilidad de los sistema para otros
clientes.
La posibilidad de que varios clientes exijan
el derecho de llevar a cabo su propia
investigación forense tras producirse el
ataquees, al mismo tiempo, otra razón que
se cita para no permitir las investigaciones
forenses. Además, según se ha comentado
anteriormente, es posible que el proveedor
de nube quiera limitar las capacidades de
sus clientes para investigar un ataque de
datos con el fin de proteger sus propios
intereses y limitar la responsabilidad
potencial. Es una controversia muy difícil de
resolver.
El problema del proveedor multinube
A menudo ocurre que el proveedor de
nube contratado por una entidad (el
‘proveedor directo’) no es el proveedor
de nube que efectivamente va a tratar,
guardar y transmitir los datos (el ‘proveedor
subcontratado’). El ejemplo más habitual
es el proveedor de servicios de software
con sus servicios alojados en la nube
de infraestructura de servicios. En estas
configuraciones, es posible que el
proveedor tercero que sufrió el ataque
carezca de una relación contractual con
el cliente, y es posible que el cliente de
nube carezca de derechos cuando se
produzca una violación de datos. Dado
que el proveedor tercero está desligado del
cliente de nube, podrá resultar difícil incluso
investigar las capacidades de respuesta
ante incidencias de los otros proveedores.
Asimismo, incluso si el proveedor directo
ha asumido determinados compromisos
contractuales en materia de respuesta
ante violación de datos, si este no ha
obtenido los derechos correspondientes del
proveedor tercero, es posible que no pueda
cumplir dichos compromisos. Por último,
8
en este tipo de configuración podrán verse
aún más exacerbados los problemas
de conflicto de intereses e investigación
forense (comentados anteriormente).
Si resulta difícil obtener acceso a un
proveedor directo, se presume casi
imposible cuando el cliente carece
completamente de derechos contractuales
como puede ser un proveedor secundario
subcontratado.
Tratamiento de violaciones de datos en
el contrato de nube
¿Qué debe hacer el futuro cliente de nube
para tratar estos problemas? ¿Sirve de algo
contar con un buen contrato? Desde luego
que sí: obtener derechos contractuales en
previsión de estos problemas puede ser de
gran ayuda. Sin embargo, hay que insistir
que la obtención de compromisos por
escrito debe reforzarse con un cuidadoso
proceso de debida diligencia, con el
propósito de garantizar que el proveedor de
nube pueda cumplir los compromisos que
asume en materia de violaciones de datos
y de respuesta ante incidencias. En plena
incidencia de violación de datos, lo último
que quiere oír el cliente de nube es que los
compromisos de su proveedor carecían de
contenido. Dicho esto, los clientes de nube
deben considerar la posibilidad de negociar
para obtener las siguientes estipulaciones
en previsión de posibles violaciones de
datos:
Procedimientos de respuesta ante
incidencias. Los clientes de nube deben
exigir al proveedor de nube cumplir
determinados procedimientos: Estos
procedimientos se deben correspondero
encajar con los procedimientos internos del
cliente de respuesta ante incidencias. Entre
las obligaciones particulares de respuesta
ante violaciones de datos se incluyen
obligaciones de:
• llevar a cabo investigaciones inmediatas
01:
VIOLACIÓN DE DATOS EN LAS NUBES
tras producirse la violación;
• mitigar y subsanar la violación; notificar
al cliente con rapidez (en cuestión de
horas);
• entregar informes por escrito e informes
de situación relativos a la violación;
• retener determinadas informaciones
que tuvieran relación con la violación de
datos (incluyendo registros, documentos
de planificación, rastros de auditoría,
expedientes e informes;
• y documentar medidas de reparación.
Obligaciones de conservar datos. En
caso de producirse una violación o resultar
inminente un litigio, podrá resultar necesario
iniciar una ‘retención por litigio’ y conservar
los datos correspondientes. El contrato
debe exigir que el proveedor de nube inicie
dicha conservación en caso de producirse
alguna de estas incidencias.
Derechos de evaluación forense. El
cliente de nube debe obtener el derecho
de llevar a cabo una evaluación forense
del proveedor de nube en caso de que
sufra una violación de datos. Si esto no
es posible, la obligación de hacerlo debe
traspasarse al proveedor de nube, con
obligaciones adicionales de proporcionar
informes e información acerca de la
violación de datos.
Limitaciones en materia de proveedores
de nube terceros. Puede usarse el
contrato para limitar que el proveedor de
nube pueda recurrir a terceros para el
manejo de datos. Pueden incorporarse
condiciones por las que se impida al
proveedor de nube entregar datos a
otros proveedores de servicios sin el
consentimiento previo del cliente.
Si se van a subcontratar otros proveedores,
puede imponerse una condición en
el contrato por la que se obligue al
proveedor de servicios a llevar a cabo una
investigación de diligencia debida, con el
fin de asegurar que el proveedor tercero
cumple con las obligaciones asumidas por
el proveedor directo.
El cliente de nube también puede exigir
condiciones contractuales por las que se
requiera que el proveedor debe imponer
condiciones contractuales a terceros
similares a las asumidas por el proveedor
principal, y por las que se permita al
proveedor directo cumplir sus propias
obligaciones. Con la incorporación de estas
condiciones, el cliente de nube podría tener
mayor control y capacidad para responder
ante una violación de datos sufrida por el
proveedor subcontratado.
Riesgo de pérdida por violación de
datos. En última instancia, las condiciones
más importantes dispuestas en un contrato
son las que determinen cuál de las partes
debe asumir la pérdida si el proveedor
de servicios sufre una violación de datos.
Los clientes deben negociar para obtener
condiciones contractuales que traspasen
dicho riesgo de pérdida al proveedor de
nube que sufra el ataque.
“Lo último que
quiere oír el
cliente es que los
compromisos de su
proveedor carecían
de contenido.”
9
CLOUD COMPUTING
Esto puede instrumentarse mediante una
cláusula de indemnización por la que se
exija una indemnización por parte del
proveedor al cliente ante reclamaciones y
pérdidas derivadas por un ataque contra
la seguridad informática. Pueden añadirse
condiciones por las que se le exija al
proveedor de nube indemnizar por gastos
de notificación de violación, incluyendo
honorarios de letrados, gastos de correo,
gastos de monitorización crediticia y gastos
de centro de atención telefónica. Asimismo,
los clientes querrán analizar, y posiblemente
modificar, las cláusulas de limitación de
responsabilidad y descargos en materia de
daños emergentes.
Estas cláusulas limitan la responsabilidad
del proveedor por incumplimiento de
contrato, y es recomendable que los
clientes de nube negocien para obtener
responsabilidad ilimitada por violación de
datos (o al menos límites superiores de
responsabilidad por dichas violaciones).
Téngase en cuenta que las obligaciones
relacionadas con las violaciones deben
articularse con mucho cuidado con el fin de
poder recuperarse ante un incumplimiento
de contrato, y la carencia de condiciones
sustanciales de responsabilidad en el
contrato puede limitar la eficacia de
imponer dichas obligaciones en primera
instancia.
10
01:
VIOLACIÓN DE DATOS EN LAS NUBES
Conclusión
Estar en la nube y ceder el control sobre
el proceso de datos es una decisión
muy seria. Los problemas que surgen en
materia de violación de datos ilustran los
retos a los que se enfrentan los clientes
de nube cuando las cosas salen mal en
este entorno. Antes de tomar la decisión
de trabajar con un proveedor de nube,
resulta clave llevar a cabo un análisis
detallado de los riesgos, y si dichos
riesgos son
aceptables, hay que controlarlos en el
contrato. Las empresas que emigran a la
nube únicamente basándose en el precio
y que ceden gran cantidad de control
podrán encontrarse en una situación
difícil cuando se produzcan incidencias
como la violación de datos.
11
CLOUD COMPUTING
02: Problemas de
traspaso y agregación
de riesgos en la nube
Dr Carsten Schulz,
Taylor Wessing, Hamburg
La informática en la nube se refiere a
servicios de aplicaciones, hardware
y software puestos a disposición del
cliente por proveedores vía Internet.
Esto permite a los clientes usar
recursos informáticos en función de
sus respectivas necesidades, y ajustar
rápidamente el alcance de estos
servicios para que se correspondan
con sus propias necesidades.
Desde la perspectiva del cliente, se trata
de un alejamiento radical del modelo
basado en infraestructuras hacia un modelo
de operaciones informáticas basado en
servicios. Los recursos informáticos están
disponibles cuando se soliciten de la misma
manera que la energía eléctrica, el agua
y demás servicios. Este cambio tiene un
impacto importante en la evaluación y el
tratamiento de los riesgos informáticos.
Los servicios informáticos alojados en la
nube abarcan desde la externalización de
procesos centralizados de empresa hasta
los servicios sencillos de consumo como
webmail. En este artículo trataremos sólo el
primero de los dos conceptos.
12
02:
PROBLEMAS DE TRASPASO Y AGREGACIÓN DE RIESGOS EN LA NUBE
“La operación de
El modelo de riesgo tradicional
Los riesgos que acarrea la explotación
de infraestructuras son de sobra
conocidos. Entre los principales se
incluyen: disponibilidad de infraestructura,
datos y procesos; integridad de la
infraestructura informática; confidencialidad
y autenticidad de datos; y seguridad de las
comunicaciones.
Siempre que se explote la infraestructura
informática internamente, el análisis de
riesgos y la gestión de riesgos (incluyendo
la evasión, reducción, atenuación,
protección contra riesgos y los seguros)
siguen siendo competencia exclusiva
de la empresa que explote los recursos
informáticos. Típicamente es la propia
empresa la que tiene que gestionar
estos riesgos a través de contratos de
las infraestructuras
informáticas
siempre está
sometida a riesgos
específicos”
mantenimiento con entidades externas,
así como contratos de licencia y con los
seguros.
El modelo de riesgo basado en nube
Cuando los procesos informáticos se
reciben de la nube en forma de servicios,
cambian considerablemente los riesgos
aplicables y la estructura de los mismos.
• Se reducen drásticamente los riesgos
específicos. Los proveedores de nube
específicos son capaces de ofrecer
seguridad informática, continuidad de
negocio y planes de contingencia de
primera clase.
13
CLOUD COMPUTING
• Al mismo tiempo, surgen riesgos nuevos
como la gestión del fin del contrato con
el proveedor y la consiguiente salida
y transición. Asímismo, también debe
estar contemplado el acceso a datos y
sistemas tras producirse la insolvencia del
proveedor.
• También cambian los mecanismos de
gestión de riesgos. Por ejemplo, en lugar
de monitorización de los empleados
y la infraestructura, se pactan niveles
de servicio específicos que permiten la
evaluación y monitorización de la calidad
de los servicios.
• Estos cambios fundamentales en el
riesgo los pasan por alto los clientes
con demasiada frecuencia a la hora de
migrar a la nube, aunque son vitales para
el análisis y la evaluación de riesgos,
el desarrollo de estrategias de evasión
y atenuación, así como la atribución
de otros riesgos y la toma de medidas
eficaces para la monitorización y el
control.
• A la hora de prestar/adquirir servicios
de nube, la atribución de riesgos
puede producirse en niveles distintos,
concretamente:
• a través del diseño efectivo de los
servicios (es decir, atribución fáctica de
áreas de influencia y mecanismos de
monitorización de riesgos). Por ejemplo, el
nivel de abstracción en el que se prestan/
adquieren los servicios (infraestructura
como servicios; plataforma como servicio;
software como servicio):
• a través de la atribución legal de riesgos
(en particular, disposiciones en materia de
responsabilidad legal); y
• a través de acuerdos contractuales como
medio de corregir y ajustar la distribución
de riesgos fáctica y legal.
Contratos de nube
A menudo se estandarizan los servicios en
gran medida, tanto por razones de carácter
técnico (uso de la misma plataforma/
infraestructura) como de eficiencia, con
vistas a lograr una reducción en los gastos
transaccionales. La base de este tipo de
relación a menudo se refleja en los contratos
de adhesión (o al menos en documentos
jurídicos básicos estandarizados, como
son las condiciones de servicio, asistencia
técnica y licencia) que definen los servicios,
el nivel de servicio, y la disponibilidad de
servicio y las soluciones. Si no se estipulan
correctamente desde el principio ni la
evaluación ni la distribución de los riesgos
en estos contratos de adhesión/contratos
de servicio marco, puede acabar en una
acumulación de riesgos con el proveedor de
nube, lo cual acarrea consecuencias propias
en materia de seguros para el proveedor de
nube.
Influencia del derecho alemán en
materia de contratos de nube
En Alemania, los servicios de nube
estandarizados se enfrentan a dificultades
específicas en lo que se refiere a la atribución
“Si no se aclara bien el contrato puede acabar en
una acumulación de riesgos con el proveedor de
nube, lo cual acarrea consecuencias propias en
material de seguros para el proveedor”
14
02:
PROBLEMAS DE TRASPASO Y AGREGACIÓN DE RIESGOS EN LA NUBE
contractual de riesgos. Esto se debe a
que las leyes que rigen los contratos de
adhesión (o lo que también se conoce por
términos y condiciones generales) limitan
drásticamente la libertad contractual de
las partes del contrato. A su vez, según
se ha señalado anteriormente para los
servicios estandarizados de este tipo, el
uso de contratos de adhesión es apropiado
y necesario. Si se ofrecen productos
estandarizados en la misma plataforma,
queda muy poco margen para variar la
atribución contractual de riesgos entre
clientes distintos.
La dificultad más importante es que
las leyes que rigen los contratos de
adhesión no admiten la atribución libre
de riesgo entre las partes, sino que se
disponen prohibiciones de limitaciones
de responsabilidad específicas de los
proveedores (que a menudo se usan
en otros países). Por consiguiente, los
proveedores y clientes tienen limitada su
capacidad para personalizar los acuerdos
contractuales.
Si alguna estipulación del contrato de
adhesión incumple la normativa legal,
según el derecho alemán se considera que
la estipulación íntegra es inválida, por lo
que se debería sustituir por disposiciones
“Todo intento de atribuir
riesgos entre las partes
en los contratos de
adhesión puede llevar
a que se obligue al
proveedor a asumir una
responsabilidad ilimitada”
oficiales de la normativa legal. De esto
surgen dos consecuencias.
1. No todas las estipulaciones en materia
de riesgo son posibles en los contratos
de adhesión; los proveedores deben
asumir responsabilidad con respecto a
determinados riesgos, a menos que se
dispongan estipulaciones alternativas de
forma individualizada.
2. Todo intento de atribuir riesgos entre
las partes en los contratos de adhesión
puede llevar a que se obligue al
proveedor a asumir una responsabilidad
ilimitada, caso de que el contrato de
adhesión no cumpla las directrices
ajustadas de la normativa legal
aplicable. Sin lugar a dudas, esto no
favorece al proveedor ni a los clientes,
dado que los sistemas de distribución,
donde los proveedores ya no puedan
controlar determinados riesgos, podrían
suponer un riesgo para todos los
clientes de dicho proveedor.
15
CLOUD COMPUTING
16
02:
PROBLEMAS DE TRASPASO Y AGREGACIÓN DE RIESGOS EN LA NUBE
Conclusión
La evasión, atenuación, atribución
y protección de riesgos están
estrechamente interconectados,
y dicha interrelación ofrece
varias maneras de desarrollar
estipulaciones aceptables para las
partes. Esto incluye la participación
de aseguradoras en todos los lados.
En la externalización clásica (que de
muchas maneras es predecesora
de los servicios de nube), se han
desarrollado buenos estándares
industriales y buenas prácticas. Sin
lugar a dudas, también cabe exigir
esto de los servicios de nube.
17
CLOUD COMPUTING
03: Principales
incidencias
y siniestros
asegurables en la
nube
Thomas Jansen, Partner, DLA Piper Munich
Mark O’Conor, Partner, DLA Piper London
18
03:
INCIDENCIAS Y SINIESTROS FUNDAMENTALES EN LA NUBE QUE SON ASEGURABLES
Cuando las partes negocian las
condiciones contractuales, están,
en cierta manera, negociando
la transferencia de riesgo, y
preguntándose quién debe asumirlo
en relación a posibles incidencias.
¿Qué pérdidas podrían surgir de
ciertas incidencias y quién debe
asumir la responsabilidad respectiva?
La forma de atribuir el riesgo puede
tener un impacto importante en las
responsabilidades del cliente y del
proveedor de nube, que a su vez
pueden tener un impacto importante
en sus coberturas de seguro. Después
de todo, para poder determinar el tipo
de seguro que debe contratarse y el
correspondiente nivel de cobertura,
es necesario determinar contra
qué incidencias y siniestros se está
asegurando.
De hecho hay muchos siniestros e
incidencias que deben evaluarse en
cualquier contrato de servicios de nube;
demasiados para analizar y considerar
en este artículo. Por lo tanto, resumimos
algunos siniestros e incidencias
fundamentales y proponemos algunas
formas de afrontarlos. Para las empresas
que estén considerando pasar a un entorno
en la nube, sería necesario un ejercicio más
detallado para que ambas partes conozcan
sus respectivas responsabilidades con
respecto a siniestros e incidencias
fundamentales, y la medida en que podrían
cubrirse contra estos mediante seguros.
Su proveedor de nube se declara en
quiebra – cómo recuperar sus datos y
traspasar los datos y la tecnología a un
proveedor alternativo.
• Desde el punto de vista jurídico no
existe diferencia alguna respecto de
los conceptos de externalización
tradicional.
• El contrato debe contener ‘cláusulas
de salida’ apropiadas por las que se
garanticen los derechos del cliente de
exigir el traspaso de los datos de vuelta
al cliente o a un nuevo proveedor.
• Desde el punto de vista práctico,
esto puede resultar difícil cuando el
proveedor de nube ha externalizado el
alojamiento de los datos con un tercer
proveedor. En este caso, el cliente
debe tener derecho a solicitar dicho
proveedor tercero la devolución de los
datos
“Al producirse la
quiebra del proveedor
de nube, el contrato
debe garantizar los
derechos del cliente
de exigir el traspaso
de los datos de
vuelta al cliente o a
un proveedor nuevo.”
19
CLOUD COMPUTING
“Los contratos que rigen los servicios
de nube públicos no suelen contener
cláusulas de garantía y nivel de servicio
especialmente beneficiosas para el cliente”
Su proveedor de nube efectúa un
traspaso de datos no autorizado,
incumpliendo la normativa en materia
de protección de datos y posiblemente
otras disposiciones legales
• Desde el punto de vista jurídico, no
existe diferencia alguna respecto de
los conceptos de externalización
tradicional.
• El contrato debe contener cláusulas
apropiadas en las que se definan los
correspondientes criterios de protección
de datos y seguridad de datos.
• El contrato debe estipular derechos de
monitorización detallados para el cliente.
• En el caso de incumplimiento de
contrato, el cliente debe tener derecho a
rescindir el contrato.
• El contrato debe contener ‘cláusulas
de salida’ apropiadas por las que se
garanticen los derechos del cliente de
exigir el traspaso de los datos de vuelta
al cliente o a un proveedor nuevo.
• Cuando el cliente se enfrente a posibles
responsabilidades en materia de multas
administrativas u otras reclamaciones
como consecuencia de incumplimiento
por parte del proveedor de nube de la
normativa legal en materia de protección
de datos, no debe excluirse ni limitarse
la responsabilidad del proveedor de
nube con respecto a dichos daños y
perjuicios.
20
El servicio prestado por su proveedor
de nube es deficiente. ¿qué remedios
podrían asistirle, habida cuenta de que
las condiciones ‘normales’ de nube
ofrecen garantías limitadas y a menudo
no ofrecen un acuerdo de nivel de
servicio?
• Desde el punto de vista jurídico, no
existe diferencia alguna respecto de
los conceptos de externalización
tradicional.
• Es preciso distinguir entre servicios
de nube públicos y servicios de nube
privados o de empresa.
• Los productos de nube públicos pueden
ser aptos únicamente para aplicaciones
y datos típicos que no sean ni críticos
ni complejos, ya que los contratos que
rigen los servicios de nube públicos no
suelen contener cláusulas de garantía
y nivel de servicio especialmente
beneficiosas para el cliente.
• Esto normalmente difiere en el caso
de productos de servicio de nube
para empresas. Dichos servicios y
contratos normalmente se diseñan
específicamente para cada cliente en
particular, y suelen contener cláusulas
de garantía y nivel de servicio.
03:
INCIDENCIAS Y SINIESTROS FUNDAMENTALES EN LA NUBE QUE SON ASEGURABLES
¿Qué pasa si el proveedor no
implanta suficientes disposiciones de
recuperación ante desastres?
• Desde el punto de vista jurídico, no
existe diferencia alguna respecto de
los conceptos de externalización
tradicional.
• Los procedimientos de recuperación
ante desastres (incluyendo exigencias
de respaldo de datos) deben definirse y
pactarse contractualmente.
• El contrato debe estipular derechos de
monitorización detallados para el cliente.
• En el caso de incumplimiento de
contrato, el cliente debe tener derecho a
rescindir el contrato.
• El contrato debe contener ‘cláusulas
de salida’ apropiadas por las que se
garanticen los derechos del cliente de
exigir el traspaso de los datos de vuelta
al cliente o a un proveedor nuevo.
• Cuando el cliente se enfrente a posibles
responsabilidades en materia de multas
administrativas u otras reclamaciones
como consecuencia de incumplimiento
por parte del proveedor de nube de la
normativa legal en materia de protección
de datos, no debe excluirse ni limitarse
la responsabilidad del proveedor de
nube con respecto a dichos daños y
perjuicios.
¿Qué pasa si falla el proveedor de redes
(dado que la nube depende de Internet)?
¿Quién sería el responsable?
• Desde el punto de vista jurídico, no
existe diferencia alguna respecto de
los conceptos de externalización
tradicional.
• Normalmente habrá, por una parte, una
relación contractual, entre el proveedor
de servicio de nube y el cliente, y, por
otra, una relación contractual en forma
de subcontrato entre el proveedor de
servicio de nube y el proveedor de
redes.
• En la relación entre el proveedor
de nube y el cliente, el fallo del
proveedor de redes se consideraría
un fallo del proveedor de nube, con la
consecuencia de que el proveedor de
nube responderá ante el cliente por
daños sufridos por el cliente a causa de
fallo del proveedor de redes.
• Cuando el cliente se enfrente a
responsabilidades como consecuencia
de incumplimiento por parte del
proveedor de nube, no debe excluirse
ni limitarse la responsabilidad del
proveedor de nube con respecto a
dichos daños y perjuicios.
“Existe una una tension entre el ahorro
que supone la tecnología en la nube y la
seguridad. Se obtiene lo que se paga.”
21
CLOUD COMPUTING
¿Qué ocurre si se produce un ataque
provocando denegación de servicio,
violación de seguridad, etc.? ¿Quién
sería responsable?
• Desde el punto de vista jurídico, no
existe diferencia alguna respecto de
los conceptos de externalización
tradicional.
• El contrato debe contener cláusulas
apropiadas en las que se definan los
correspondientes criterios de protección
de datos y seguridad de datos.
• El contrato debe estipular derechos de
monitorización detallados para el cliente.
• En el caso de incumplimiento de
contrato, el cliente debe tener derecho a
rescindir el contrato de nube.
• El contrato debe contener ‘cláusulas
de salida’ apropiadas por las que se
garanticen los derechos del cliente a
exigir el traspaso de los datos de vuelta
al cliente o a un nuevo proveedor.
• Cuando el cliente se enfrente a
responsabilidades como consecuencia
de incumplimiento por parte del
proveedor de nube, no debe excluirse
ni limitarse la responsabilidad del
proveedor de nube con respecto a
dichos daños y perjuicios.
22
03:
INCIDENCIAS Y SINIESTROS FUNDAMENTALES EN LA NUBE QUE SON ASEGURABLES
Conclusión
Desde el punto de vista jurídico no existe
diferencia alguna respecto de los conceptos
de externalización tradicional. No existe
ningún contrato de adhesión ‘estándar
del mercado’ porque el mercado está en
desarrollo, aunque existen algunos temas
muy avanzados. Así, se empieza a observar
una taxonomía de estilos contractuales de los
proveedores ‘nuevos’ (Salesforce, Google,
Amazon, Memset, Rackspace etc.) que
suelen excluir gran parte, o incluso toda su
responsabilidad, frente a los actores ‘viejos’
o tradicionales (Cisco, Fujitsu, IBM etc.), que
están menos dispuestos a compartir estas
condiciones de contrato de nube; y otros
proveedores híbridos como Microsoft, que en
sus condiciones Azure, ofrecen un nivel de
servicio limitado y algunas de las condiciones
más normales de contrato informático.
Con la tecnología vía nube se obtiene un
ahorro económico, aunque se sacrifica algo
de seguridad. Así, se recibe lo que se paga.
La decisión se debe a la necesidad que tiene
el cliente de ahorrar dinero y la categoría
de seguridad de los datos afectados.
Por lo tanto, los datos de categoría baja
podrían sacarse del país, a un proveedor de
nube barato que ofrezca pocas garantías
en cuanto a responsabilidad o niveles de
servicio. Mientras que los datos sensibles de
carácter personal necesitarán protecciones
contractuales más férreas.
23
2
1
5
4
3
6
suscriptores especializados de IT y
gestores de siniestros en siete países
para más información, conctacte con
su responsable local de IT:
7
4 Germany
Jens Krickhahn
+49 (0) 89 545801 100
jens.krickhahn@hiscox.com
hiscox.de
1 United Kingdom
Alan Thomas
+44 (0)20 7448 6316
alan.thomas@hiscox.com
hiscox.co.uk
5 Holland
Yasin Chalabi
+31 (0) 20517 0732
yasin.chalabi@hiscox.com
hiscox.nl
2 USA
Jim Whetstone
+1 312 239 6354
jim.whetstone@hiscox.com
hiscoxusa.com
6 Portugal
Vitor Vieira
+351 213 137 617
vitor.vieira@hiscox.com
hiscox.pt
3 France
Charles Jamot
+33 680 70 19 34
charles.jamot@hiscox.com
hiscox.fr
7 Spain
Jorge Cabellos
+34 9 15 61 5534
jorge.cabellos@hiscox.com
hiscox.es
Related documents
Resumen Coberturas RC Profesional Consultores
Resumen Coberturas RC Profesional Consultores
Seguridad y resistencia en las nubes de la Administración
Seguridad y resistencia en las nubes de la Administración
Dificultades de Investigaciones Penales en Cloud Computing
Dificultades de Investigaciones Penales en Cloud Computing
la economía digital - Cámara de Comercio de Santiago
la economía digital - Cámara de Comercio de Santiago
Metodología para implementar en la nube Aplicaciones Web
Metodología para implementar en la nube Aplicaciones Web
Cómo abordar los desafíos fiscales de la Economía Digital
Cómo abordar los desafíos fiscales de la Economía Digital
Impulsando la economía digital - Powering the Digital Economy: A
Impulsando la economía digital - Powering the Digital Economy: A
2. Minería de datos
2. Minería de datos
simplifica la complejidad de los datos forenses móviles
simplifica la complejidad de los datos forenses móviles
¿ROJO O PANTONE 485? ELIGE UNA ASEGURADORA QUE
¿ROJO O PANTONE 485? ELIGE UNA ASEGURADORA QUE
Modelo para mejorar el servicio de salud utilizando
Modelo para mejorar el servicio de salud utilizando
una plataforma para modernizar las aplicaciones java
una plataforma para modernizar las aplicaciones java
Nuevos Modelos de Negocio en los
Nuevos Modelos de Negocio en los