Riesgos tecnológicos

La subcontratación en el cloud computing


Uno de los principales problemas que encuentran las empresas españolas al intentar firmar contratos de cloud computing con empresas extranjeras, generalmente norteamericanas, está asociado a la estricta normativa que en materia de protección de datos personales rige en Europa.

Sin embargo, las empresas están encontrando soluciones que consisten en pactar con el proveedor de cloud computing unas medidas que tengan un efecto equivalente a las exigidas en la ley. La Agencia Española de Protección de Datos (AEPD) se ha pronunciado recientemente a favor de escapar de una interpretación literal de la Ley Orgánica de Protección de Datos (LOPD) y de su Reglamento (RLOPD), para buscar soluciones alternativas que se adapten a las peculiaridades del cloud computing y permitan garantizar la protección de los derechos de los afectados.

En este artículo analizaremos los puntos en los que se han producido ciertos avances.

1. Ubicación de los datos

Hoy en día el almacenamiento de datos ha sufrido una importante reducción de costes, debido principalmente a la caída del precio de los soportes informáticos. Ello ha generado una sana competencia entre los principales proveedores de servicios de hosting.

El crecimiento y la optimización de las redes y de los protocolos de comunicación y de compresión de datos también han influido en la existencia de una oferta económica y global.

La libre competencia en el mercado internacional y la amplitud de la oferta permite a las empresas de cloud computing escoger los proveedores de hosting que más les convienen en calidad y precio, pudiendo éstos encontrarse en cualquier país y latitud. Últimamente parece que están emergiendo las latitudes frías, donde el coste de refrigeración de los servidores es muy reducido.

Todo ello contribuye a que los datos gestionados por el proveedor de cloud computing puedan tener múltiples ubicaciones a lo largo de la vigencia del contrato. Si las oscilaciones en los precios del hosting son importantes, el proveedor de cloud computing podría cambiar la ubicación de los datos con una mayor frecuencia.

Todo ello tiene ventajas y desventajas. Un ventaja se produciría en materia de seguridad, ya que los posibles interesados en conseguir un acceso ilegal a los datos no podrían saber dónde se encuentran éstos en cada momento.

Un desventaja clara sería que, legalmente, la empresa cliente estaría obligada a saber dónde se encuentran los datos personales de sus clientes y trabajadores, para poder comprobar si se hallan en un país que ofrece una protección equivalente a la Unión Europea o que tiene un convenio de Puerto Seguro como Estados Unidos.

En caso de ser así, la empresa cliente debería solicitar una autorización al Director de la AEDP, al tratarse dicho hosting de una transferencia internacional de datos a un país sin protección equivalente a la de la UE. Durante el ejercio 2011 el Director de la AEPD autorizó 735 transferencias a estos países. De ellas, el 84,2% correspondió a transferencias de datos a encargados del tratamiento, es decir, a empresas de outsourcing, cloud computing, call centers externalizados y otros servicios con tratamiento de datos personales.

Avances

1. Desde un punto de vista legislativo, el avance que se está produciendo en esta materia es que el legislador está reconociendo el carácter global de las redes de telecomunicaciones y la necesidad de bajar el listón en relación a los requisitos exigidos para las transferencias internacionales de datos.

Pensemos que hay supuestos en que los es imposible cumplir estos requisitos. Por ejemplo, los sistemas de enrutamiento analizan en tiempo real los tiempos de salida y llegada de los paquetes IP y que, en cualquier momento pueden dirigir el tráfico a través de nodos situados en países sin protección equivalente. Aunque sería un tránsito efímero, la caché del router puede conservar esos datos durante un tiempo indeterminado.

2. Desde un punto de vista técnico, algunos proveedores de cloud computing están recurriendo a sistemas de informática distribuida en el que cada servidor tiene fragmentos o chunks tipo P2P. Ello hace que las cadenas de datos estén truncadas, y que sea imposible recuperar información útil desde un solo servidor.

Valorado jurídicamente, este sistema es mucho más potente que la disociación o la anonimización de los datos, ya que la dispersión de datos fragmentados en diferentes países permitiría eludir la figura de la transferencia internacional de datos.

En el caso de la disociación, los datos no podrían ser relacionados con las personas a las que van referidos, pero seguirían siendo datos inteligibles, con información suficiente, en algunos casos, para asociarlos a los afectados. En la fragmentación no existiría este riesgo, ya que cada fragmento incluiría datos ininteligibles.

Además, en la disociación, el tratamiento se realiza normalmente en bloque, y el proveedor tiene acceso inteligente a todos los datos. En cambio, en la fragmentación, el proveedor sólo tiene un acceso no inteligente a una parte de la base de datos. Es un acceso no inteligente porque se trata de un mero almacenamiento de bits no inteligibles y porque el proveedor no realizará ningún esfuerzo intelectual para tratar los datos.

2. Selección e identificación de las empresas subcontratadas

La LOPD y su Reglamento establecen requisitos muy claros y exigentes en relación a la cadena de custodia y tratamiento de datos personales por parte de un proveedor que subcontrate los servicios de otras empresas. Estos requistos, detallados en el artículo 21,2 del RLOPD y en la Sentencia del Tribunal Supremo de 15 de julio de 2010, son los siguientes:

1. En el contrato con el proveedor se deben detallar los servicios que van a ser objeto de subcontratación.

2. También deben quedar identificadas las empresas subcontratadas.

4. El cliente debe autorizar cada una de las subcontrataciones.

3. Debe existir un contrato entre el proveedor y las empresas subcontratistas que incluya las mismas garantías y obligaciones del contrato principal.

Avances

1. Desde un punto de vista jurídico, la propia AEPD ha reconocido en diversas ponencias que las características particulares de los contratos de cloud computing impiden aplicar literalmente los requisitos de la subcontratación.

Por un lado, el proveedor de cloud computing presenta, en la mayoría de los casos, una oferta prediseñada con unas aplicaciones estándar. En función del tipo de servicio de cloud computing contratado habrá un distinto nivel de implicación del usuario y por lo tanto, el nivel de personalización del servicio y del contrato será también distinto. Tengamos en cuenta que estos servicios se regulan normalmente en un contrato de adhesión, y que el proveedor va a resistirse a cambiar sus cláusulas, dada la necesidad de disponer de un régimen uniforme para todos los clientes y para todos los países.

Por otra parte, el proceso de selección de las empresas que el proveedor de cloud computing contrata está basado en las oscilaciones de la oferta de servicios como el almacenamiento de datos, y por lo tanto esta sujeto a una evolución constante. Ello impide establecer una lista permanente de empresas subcontratadas como anexo al contrato. La AEPD en este sentido recomienda una remisión a una lista dinámica ubicada en el sitio web del proveedor, que vaya siendo actualizada constantemente.

2. Desde un punto de vista técnico debemos tener en cuenta varios puntos importantes. Las empresas de cloud computing se están convirtiendo en proveedores críticos de las empresas. Las empresas que administran infraestructuras críticas tienen que recurrir a medidas de ocultación como primera barrera de seguridad frente a ataques. Un ejemplo sería no dar a conocer la ubicación de sus CPD o pixelar las fotografías aéreas de sus instalaciones en Google Maps y otros servicios similares. De la misma manera sería interesante no desvelar la identidad del proveedor de cloud computing cuando éste administra recursos críticos.

En la tarea de crear esas primera barreras a un eventual ataque, la propuesta de relacionar a las empresas subcontratadas en el sitio web del proveedor de cloud computing no parece recomendable, salvo que ésta se encuentre en una zona privada a la que sólo el cliente tenga acceso.

Pensemos que, en materia de seguridad, una cadena es tan fuerte como el más débil de sus eslabones, y es inútil que una empresa concentre todos los recursos posibles en la protección de sus activos intangibles y de los datos personales de sus clientes si después externaliza parte de su gestión a un proveedor que no realiza los mismos esfuerzos, o genera una cadena de subcontrataciones que van diluyendo, en cada nuevo nivel de subcontratación, el control sobre dichos activos. También hay que reconocer que el proveedor, como responsable frente a muchos clientes, puede haber invertido más en seguridad que el propio cliente, pero no podemos dejar de tener en cuenta la teoría del riesgo moral, que demuestra que nadie protege con tanto esmero sus activos como su propietario. Además, si miramos la casuística de los ataques, filtraciones, siniestros y descuidos en materia de seguridad que se han llegado a los medios de comunicación, veremos un incremento en la implicación de los proveedores en estos incidentes y una clara migración de estos ataques hacia ellos.

Estos factores de riesgo hacen aconsejable una labor de control sobre el proveedor de cloud computing y de éste sobre sus subcontratistas. El fenómeno de la externalización está haciendo que nuestros proveedores y sus subcontratistas se conviertan en gestores de nuestros activos intangibles y de nuestra reputación corporativa, por lo que no debe ser raro aplicar fórmulas de auditoría y control similares a las funciones de auditoría y control internos. Alguna empresas consideran suficiente solicitar el informe SAS70, pero en el caso del cloud computing sería necesario ampliar el alcance del control.

Otro factor importante a tener en cuenta es la virtualización. ¿Hasta qué punto podemos seguir hablando de hosting en entornos virtualizados gestionados directamente por el cliente? La fórmula se asemeja más a un housing virtual que a un hosting. Una máquina virtual es, como dice la palabra, una máquina, una unidad a la que el propietario del servidor físico no tiene acceso inteligente.

Si a ello unimos el proceso de cifrado y fragmentación de los datos, no debería seguir considerándose encargados o subencargados del tratamiento a los subcontratistas que simplemente dan alojamiento a una máquina virtual llena de datos ininteligibles. Aunque la LOPD incluye la simple conservación de datos personales en la definición de tratamiento, deberíamos preguntarnos si un paquete fragmentado de una gran base de datos puede seguir siendo considerado como un contenedor de datos personales, y si el simple almacenamiento de ese paquete fragmentado en una máquina virtual sin acceso inteligente del propietario del servidor es realmente una tratamiento de datos personales.

FUENTE:Expansión.com

Las empresas del Ibex-35 y los principales anunciantes en Internet no avisan de que vigilan al internauta


No cumplen la “Ley anti-cookies”, que obliga a pedir el consentimiento del usuario para controlar sus visitas, según se deprende de un estudio de la consultora Divisadero.

Ésta es la conclusión del estudio La adaptación de las empresas españolas al nuevo marco jurídico de la protección de datos en Internet, que ha elaborado la consultora Divisadero.

El Gobierno aprobó un Real Decreto-ley el pasado 31 de marzo que revoluciona el mercado de la publicidad online y ha cogido a las empresas con el pie cambiado. La norma exige que el consumidor dé su consentimiento expreso sobre las cookies. Al Ejecutivo socialista no le dio tiempo a aprobar la Ley de Telecomunicaciones que preparaba, por lo que el Gobierno atribuye ahora las prisas de este Decreto al riesgo de inminentes sanciones económicas por el retraso en la transposición de la Directiva comunitaria.

Las cookies son los dispositivos de almacenamiento y recuperación de datos en los Ordenadores de los usuarios que se utilizan habitualmente por parte de los proveedores de servicios para controlar las páginas visitadas por los usuarios o la navegación. La información obtenida a partir del uso de las cookies se considera un dato de carácter personal, ya que implica conocer la dirección IP del ordenador, es decir, permite su vinculación con el equipo del usuario es decir, permite su vinculación con el equipo del usuario.

De esta forma, la nueva norma que regula el régimen legal de las cookies o de la privacidad de la publicidad online, un mercado que mueve unos 1.000 millones al año, ha entrado en vigor sin periodo transitorio. El Decreto ha elegido una interpretación de la Directiva perjudicial para las empresas, a diferencia del texto que se preparó en la anterior Legislatura.

El incumplimiento del artículo 22 de la Ley de Servicios de la Sociedad de Información es considerado como infracción leve y lleva aparejado una sanción de 30.000 euros. Será la Agencia Española de Protección de Datos quien, de oficio o a partir de una denuncia, pueda actuar fiscalizando el cumplimiento de la misma.

El informe de Divisadero pone de manifiesto que las empresas del Ibex-35 y las 20 primeras empresas con más volumen de inversión publicitaria en Internet tendrán que superar "escollos importantes para adaptarse al nuevo marco jurídico" ya que ninguna de ellas solicitan permiso a sus usuarios antes de servir cookies de "tercera parte".

De las empresas analizadas, ninguna ha incorporado una lista de cookies en sus políticas de privacidad, aunque el 69% de las empresas del Ibex-35 hace mención a su uso en dichas notificaciones. Así, mientras que las empresas del IBEX utilizan una media de 12 cookies en sus webs corporativas, los principales anunciantes on line muestran una media de 41 cookies "de tercera parte", para las que son exigibles, según la nueva normativa, el requerimiento de información y permiso previo por parte del usuario de la web.

Un 64% de las cookies de las empresas del Ibex-35 y un 82% de los de las principales empresas anunciantes corresponde a cookies de "tercera parte", representando las analíticas, de uso interno y destinadas al mantenimiento de la presencia digital, el 37% del total, entre los 20 primeros anunciantes en Internet y el 66,5% en las empresas del Ibex-35. De las que tienen fines publicitarios, el 63,4% corresponde a los 20 primeros anunciantes en Internet y el 33,5% a las empresas del Ibex-35.

Entre las conclusiones más llamativas, Divisadero destaca que las cookies afectadas por el nuevo marco legal, las de "tercera parte", son las más usadas en los portales web, tanto en las empresas del Ibex-35 como de los 20 primeros anunciantes en Internet, pero ninguna pide permiso previo a la hora de servir este tipo de cookies.

Por tanto, a pesar del retraso de casi tres años entre la aprobación de la directiva comunitaria y la integración en el ordenamiento jurídico español, Divisadero advierte de que las empresas españolas se encuentran en el inicio de una encrucijada cuyo desenlace podría ser lento y que requiere cambios importantes para llegar a cumplir la normativa anti-cookies.

La consultora sugiere algunas acciones preventivas a la espera de que la Agencia Española de Protección de Datos, quien tiene la última palabra en esta materia, emita las recomendaciones oficiales.

Una de las principales recomendaciones es auditar sus propias cookies para conocer qué fecha de caducidad tienen, cuál es el propósito de esas cookies y a quién pertenecen, en caso de que sean servidas por "terceros" para su propio uso.

Otra de las recomendaciones se refiere al cambio en la política de privacidad o el aviso legal en sus sites en el que debe explicar a los visitantes, de forma clara y sencilla, los diferentes tipos de cookies que utiliza y revelar que va a solicitar a los usuarios permiso expreso cuando utilice cookies servidas por "terceros" para usos ajenos a su web no solicitadas expresamente.

Las 20 principales anunciantes en Internet en el año 2011 (según Infoadex) son: Procter & Gamble España, Telefónica, El Corte Inglés, L’Oréal España, Volkswagen-Audi España, Vodafone España, ING Direct, Viajes El Corte Inglés, France Telecom España, Danone, Línea Directa Aseguradora, Once, Coca Cola, Renault España Comercial, Unilever España, Puig, Peugeot España, Citröen España, Nestlé España y Ford España.

FUENTE:Expansión.com

La opacidad administrativa terminará en 2013
ABC.es
Soraya Sáenz de Santamaría ha anunciado este viernes que la Ley de Transparencia entrará en vigor en 2013. La nueva normativa ha recibido el visto bueno del Consejo de Ministros y ahora será enviada a la Agencia de Protección de Datos y al Consejo de ...

 

LEER MAS.....http://www.abc.es/20120518/espana/abci-transparencia-novedades-201205181609.html

FUENTE:ABC.ES

Controlará los pagos por coches robados o que acaban destrozados

El seguro crea un gran fichero para prevenir fraudes en el ramo de autos


Las aseguradoras lanzarán en 2013 un fichero que controlará los vehículos que han sido robados o que han acabado destrozados por un golpe o un incendio. El objetivo es evitar el pago de indemnizaciones a mafias y delincuentes por siniestros simuladosLa industria del seguro levanta una gran muralla contra la acción de los criminales especializados en simular siniestros para cobrar indemnizaciones. El sector ultima una gran base de datos que contendrá información sobre los vehículos que han desaparecido debido a un robo o que han quedado completamente siniestrados tras un golpe o un incendio. El fichero cuenta con el beneplácito de la Agencia Española de Protección de Datos (AEPD). Su función será identificar a los coches afectados por alguno de los supuestos citados. No tiene por objeto mantener un listado de las personas que han recibido el pago de una aseguradora. Los automóviles se monitorizarán a través del número de bastidor o Número de Identificación del Vehículo (VIN, por sus siglas en inglés).

Fuentes aseguradoras indican que se han adherido a la iniciativa 15 entidades que agrupan el 75% de las primas del ramo. El programa entrará en pleno funcionamiento en enero de 2013, cuando esté apuntado todo el sector. Tirea actúa como gestora. El alcance del fichero antifraude es, de momento, limitado. Solo afectará al ramo de autos. Quedan al margen otras líneas de negocio de peso como los seguros de vida riesgo, las pólizas industriales y otros ramos masa como el de hogar o el de salud.

Los seguros de automóviles han sido los elegidos como el primer paso porque constituyen la línea de negocio más relevante para el seguro y donde se concentran siete de cada diez intentos de fraude detectados. La ley exige que todo vehículo esté por lo menos cubierto ante las reclamaciones de terceros por una póliza de responsabilidad civil. A partir de ahí, se pueden sumar con carácter voluntario coberturas sobre los daños propios (lunas, robo...) hasta llegar al todo riesgo, con o sin franquicia. En España circulan unos 29 millones de automóviles. Se estima que medio millón de vehículos carecen del seguro preceptivo. La mayoría son motos y ciclomotores.

El fichero antifraude se centra en los casos por sustracción del vehículo en sí y donde el coche queda destrozado porque son siniestros susceptibles de ser simulados por bandas de crimen organizado al reportar indemnizaciones elevadas. Quedan al margen del escrutinio sectorial los golpes de chapa, los robos de elementos del vehículo y los accidentes con daños personales.

Vacas flacas en el seguro de autos

Las aseguradoras de autos facturaron 11.535 millones de euros en 2011, según Icea. Su volumen de negocio ha disminuido un 2,29% frente al año anterior. Sobre el gremio pesa como una losa la caída de las ventas de coches. Los grupos más importantes son Mapfre (21% del mercado), Allianz (11,62%), Axa (11,50%), Mutua Madrileña (11,25%) y Línea Directa (5,76%).

El seguro dispone de convenios destinados a agilizar el pago de indemnizaciones entre compañías en caso de accidentes (Cicos), conocer el historial de los conductores (Sinco) así como para realizar estudios sectoriales. La nueva Ley de Supervisión de Seguros Privados (LSSP) contempla en su artículo 103 sobre protección de datos personales la posibilidad de que se constituyan "ficheros comunes cuya finalidad sea prevenir el fraude sin que sea necesario el consentimiento del afectado".

Pero la norma, que entrará en vigor previsiblemente a finales de año, pone algunos límites. De entrada, será necesario comunicar al afectado "la introducción de sus datos, quién es el responsable del fichero antifraude y de las formas de ejercicio de los derechos de acceso, rectificación y cancelación y oposición". En el ramo de salud es muy restrictivo el tratamiento de datos personales. En ese caso solo se podrá manejar información personal con el consentimiento expreso del afectado.

La crisis azuza los intentos de estafa no profesionales
En el mundo del delito, como en todos lados, hay profesionales y oportunistas. El seguro lo sabe bien. Las entidades padecen desde que comenzó la crisis económica un repunte de los intentos de fraude por parte de sus clientes. Unespa señalaba el pasado abril cómo "se aprecia un incremento de los intentos de fraude no profesionales, como simulaciones de robo e incendios de negocios".

En 2011, el sector detectó 130.959 partes irregulares. Un 10,5% más que un año atrás. Estas reclamaciones exigían el pago de 521,4 millones de euros pero, tras ser revisadas, las indemnizaciones se limitaron a 157,1 millones. El ahorro fue de 364,2 millones.

El FMI desea que todas las aseguradoras dispongan de un departamento de lucha contra el fraude. Las grandes ya lo tienen, pero no así las firmas modestas. El sector dedicó ocho millones a analizar timos en el año, un 15% más.

FUENTE:Cinco Días

SE APUNTA UN TANTO

Santamaría tiende puentes entre la clase política y la ciudadanía

El Semanal Digital

La brecha abierta entre ambas -germen de movimientos como el de los "ingidnados"- es tal que el Gobierno, con el impulso de la vicepresidenta, ha tomado medidas con una ley muy esperanzadora  


En el programa electoral con el que Mariano Rajoy concurrió a las elecciones generales, la palabra "transparencia" aparecía escrita 59 veces. En ese mismo documento, los populares se comprometían a aprobar, "con carácter inmediato", lo que bautizaron como "Ley de Transparencia, Acceso a la Información Pública y Buen Gobierno".

Dicho y hecho. El Gobierno dio el primer paso importante el pasado mes de marzo, cuando comenzó la andadura de su anteproyecto de ley. Que, por primera vez en democracia, durante 15 días estuvo colgado en Internet para que los ciudadanos pudieran hacer aportaciones. Como una especie de brainstorming. En ese tiempo la página web registró 78.000 visitas y 3.669 aportaciones, más otras 14 remitidas por los ciudadanos por correo ordinario.

Incorporadas algunas de las sugerencias -aunque no las referentes a la Casa Real, que quedará como estaba previsto inicialmente-, este viernes el Consejo de Ministros aprobó definitivamente dicho anteproyecto para remitirlo ahora a la Agencia de Protección de Datos. Y, después, al Consejo de Estado.

El Ejecutivo espera que la ley pueda ser definitivamente aprobada por las Cortes en otoño. Una normativa que tiene nombre propio: el de la vicepresidenta, Soraya Sáenz de Santamaría. Ella es la principal impulsora de un proyecto que supone un paso importante en el ejercicio del derecho de los ciudadanos a saber lo concerniente a las instituciones públicas y a sus responsables. Máxime en un momento como el actual, en el que existe una gran brecha entre la clase política y los españoles, germen de los indignados.

Aunque la ley entrará en vigor el mismo día de su publicación en el BOE, la parte referente a la transparencia tardará un año en estar plenamente operativa. Ello es debido a que el Ejecutivo va a crear un Portal de Transparencia donde atender todas las consultas de la gente, y eso conlleva tiempo. Además, la aplicación de la normativa estará controlada por la Agencia Estatal de Transparencia, Evaluación de las Políticas Públicas y Calidad, que verá reforzada su independencia mediante el nombramiento de un presidente con el mismo procedimiento que requieren otros órganos supervisores.

Entre otras cosas, gracias al brainstorming ciudadano se ha ampliado la información económico-presupuestaria que debe hacerse pública, entre la que tendrá que incluirse lo relativo a los contratos; y se establece la obligatoriedad de hacer públicos los informes de auditoría y fiscalización, así como más datos sobre los contratos, entre los que deberán incluirse los contratos menores.

Otra de las novedades del anteproyecto de ley se recoge en las disposiciones adicionales a través de un plan de calidad y simplificación normativa que tiene como objetivo disponer de "menos y mejores" leyes, poniendo un freno a la "inflación reglamentaria". Según Sáenz de Santamaría, ese plan redundará en dar más facilidades en el tráfico económico y jurídico, reduciendo la litigiosidad.

Ejemplaridad de los cargos púbicos

Pero la Ley de Transparencia, Acceso a la Información Pública y Buen Gobierno no sólo contribuirá a poner luz y taquígrafos sobre las administraciones, sino que será el guardián de la conducta de los servidores públicos. Entre otras cosas, contempla que los altos cargos podrán ser cesados o sancionados por el Consejo de Ministros (si tienen rango de ministro o de secretario de Estado) o por el Ministerio de Hacienda y Administraciones Públicas (si son otros altos cargos). Además, podrán ser inhabilitados mediante procedimiento judicial.

La Ley consagra un régimen sancionador estructurado en tres ámbitos: infracciones en materia de conflicto de intereses, en materia de gestión económico-presupuestaria y en el ámbito disciplinario. Además, se incorporan infracciones derivadas del incumplimiento de la Ley Orgánica de Estabilidad Presupuestaria y Sostenibilidad Financiera, según figura en el texto dado a conocer por el Ejecutivo.

La comisión de estas infracciones tendrá como consecuencia sanciones como la destitución en los cargos públicos, la no percepción de pensiones indemnizatorias, la obligación de restituir las cantidades indebidamente percibidas y la obligación de indemnizar a la Hacienda Pública. Además, se establece la previsión de que los autores de infracciones graves y muy graves podrán ser inhabilitados por un periodo de entre cinco y diez años.

El Gobierno tiene puestas muchas expectativas en esta normativa. De hecho, la vicepresidenta confió incluso en que tenga "efectos económicos", porque "genera confianza y aumenta la responsabilidad de los gestores públicos".

FUENTE:El Semanal Digital