Cloud Computing: homologación de proveedores cloud y data protection
- Lorena P. Campillo
Anteriormente hablábamos de gestión de riesgos y cómo el cliente de los servicios cloud puede evitar pagar los platos rotos ante posibles tratamientos ilícitos de datos personales o brechas de seguridad del proveedor cloud.
Es de señalar que tal y como establece una importante consultora, el 95% de los clientes cloud de España creen que no son responsables de la brecha de seguridad. Con la llegada del nuevo Reglamento Europeo de Protección de datos y las altísimas sanciones previstas ante incumplimiento posiblemente la situación cambie.
Ahora es el momento de ver qué proceso sería el que nos sería útil para mitigar esos riesgos, y, por ello, hablaremos de la homologación previa de nuestros proveedores antes de “contratar” o “negociar” los servicios cloud. Quien puede negociar hoy en día puede considerarse un total privilegiado, habida cuenta que el solo el 52 % de los clientes cloud han negociado el contrato, según establece un estudio del Cloud Industry Forum. El mayor problema que tiene el cliente de los servicios de cloud computing es que desconoce cómo funciona la cadena de suministro vertical, en concreto, las subcontrataciones.
Homologación viene del verbo homologar, que significa “aprobar o confirmar oficialmente”. Es el proceso de certificación o aprobación de un producto para indicar que cumple con las normas y especificaciones reguladoras, como la seguridad y los requisitos técnicos. A continuación describimos las que podrían ser unas posibles fases para esa homologación donde los parámetros podrían ser varios en función del tipo de “homologación” utilizada y los criterios deseados del cliente.
Describamos las fases que todo proceso de homologación DEBERÍA incluir:
Preselección y selección de proveedores
La empresa cliente de los servicios cloud diseñará, definirá y desarrollará los objetivos y criterios como pueden ser la tenencia de certificaciones por parte del proveedor.
En esta etapa se enviará a los proveedores preseleccionados cierta información que deben cumplimentar o aportar. Debería ser práctica habitual enviar cuestionarios estándar preparados por el cliente cloud a todos los proveedores para que entren en el proceso de aprobación. Dada la particularidad de los servicios Cloud, habrá que añadir los siguientes requisitos importantes como elementos a evaluar:
Evaluación y presupuesto
Tiene el objetivo de determinar si las actividades y resultados cumplen con los parámetros establecidos. Toda la información recibida será analizada por los diferentes miembros. Se pedirán varios presupuestos, se evaluarán y se seleccionará el candidato teniendo también su informe financiero. ¿Qué criterios de homologación se emplearán a la hora de la evaluación?
Tenencia de certificaciones.
Adhesión al Códigos de Conducta en protección de datos.
Flexibilidad contractual y capacidad de negociación.
Cumplimiento LOPD.
La fase de compliance
Esta fase implica los correspondientes checklist, el cuestionario de compliance, la comprobación de tenencia de las certificaciones correspondientes...
En esta fase se revisará el contrato, después se firmará el mismo, el código de conducta, y las condiciones generales de contratación, el SLA, el PLA y demás aspectos determinantes.
Hay que tener en cuenta que el departamento jurídico no debe esperar hasta e último momento para repasar los términos contractuales.
La mejora continua
El proceso de homologación no finaliza aquí, ya que la homologación es temporal y requiere de evaluación continua debido al continuo cambio de regulación. Su objetivo es buscar la garantía del cumplimiento de las clausulas y acuerdos contractuales, basándose fundamentalmente en la detección y en las medidas correctoras o la gestión del incumplimiento. Pensemos por ejemplo en auditorías periódicas, tanto internas como independientes.
El próximo mes hablaremos, con más profundidad, sobre los códigos de conducta y del nuevo reglamento europeo de protección de datos y la importancia que va a tener en el futuro para los proveedores cloud y clientes.
Lorena P. Campillo. Abogada especialista en Derecho de las Nuevas Tecnologías