El objetivo de ahorrar costes ha provocado un incremento del nivel de externalización de las empresas. La externalización de procesos y aplicaciones ha comportado también el desplazamiento de datos, información y servicios críticos al exterior de la empresa, convirtiendo a algunos proveedores en una extensión de los recursos corporativos.
Un claro exponente de este proceso en la actualidad es el cloud computing, por lo que el contrato que lo regula deberá tener en cuenta todas las cautelas que una empresa incluiría en sus procesos de control interno.
A continuación se enumeran algunas de ellas:
- Propiedad intelectual.
- Propiedad de la información.
- Confidencialidad de la información.
- Ubicación de los datos.
- Posibles transferencias internacionales de datos.
- Medidas de seguridad proporcionales al tipo de datos.
- Control de acceso y gestión de identidades.
- Copias de seguridad de los datos.
- Estándares e indicadores de calidad del servicio.
- Auditorías periódicas.
- Niveles de respuesta.
- Continuidad del servicio.
- Régimen de responsabilidades.
- Inclusión del proveedor en el plan de continuidad del negocio.
- Arbitraje tecnológico.
- Legislación y jurisdicción aplicables en el caso de proveedores extranjeros.
- Garantías postcontractuales: retorno ordenado de la información.
Sin ser un experto en leyes ni de lejos la verdad es que gran parte de la problemática legal del Cloud Computing se parece bastante a la que en su momento surgió con la banca on-line. De hecho varias de las claúsulas que propones ya existen en esos contratos de servicios.
En cuanto a todas las referidas a "propiedad", una posible y fácil solución es el encriptado. Si logras poner de acuerdo a proveedores y usuarios lo que circula en teoría no es información, sino datos encriptados con unas claves cuya propiedad es indiscutible.
Me quiere sonar que Google ya ha metido HTTPS en Gmail precisamente por un tema de estos.
Publicado por: Luis García-Villalba | 23/06/09 en 12:47