Hoy vamos a analizar cómo se distribuyen las responsabilidades sobre seguridad y control de un servicio en la nube desplegado sobre la infraestructura que proporciona un gran proveedor de Cloud como es AWS. El artículo pretende ser una guía útil tanto para aquellos emprendedores interesados en montar sus negocios online sobre la plataforma de AWS, como para los clientes finales que tengan que evaluar el grado de control que pueden proporcionar potenciales proveedores de servicios online que usan de los servicios de Amazon para el despliegue de sus aplicaciones.
Los primeros encontrarán en este artículo una relación de los aspectos esenciales de la oferta de “transparencia y control” de los que deberán responsabilizarse ellos mismos y cuáles serán responsabilidad de AWS. Los segundos, los potenciales usuarios finales, las pautas para poder evaluar las propuestas de posibles proveedores de servicios “en la nube” y orientación sobre los elementos a incluir en el contrato.
Negocios bajo control 
Estimado Miguel Ángel, un par de dudas
– entiendo que también se puede incluir en cláusulas el dato de la ubicación desde la que los administradores de AWS pueden acceder para administrar el servicio. Si los dBA son de la India (o pueden «potencialmente» acceder desde ubicaciones no consideradas «puerto seguro») me invalida el servicio desde el punto de vista LOPD (siempre que vaya a usar la nube para guardar datos personales, claro).
– como se articula con AWS la cláusula «right to audit» sobre la que se basa la potestad de hacerles pasar una auditoría de sistemas independiente de forma periódica?
Un saludo y gracias por tu «inspiring» blog
Pablo
Estimado Pablo,
Mi recomendación es que en el caso de almacenaje de datos sensibles en la nuble, la empresa cliente mantenga la administración del gestor de base de datos. Adicionalmente, es muy recomendable que establezcamos un procedimiento de cifrado fuerte de la información. Dicho esto, por supuesto que siempre se pueden establecer limitaciones vía contrato (por ejemplo que los datos solo puedan estar almacenadas y accedidos desde localizaciones compatibles con nuestra regulación de datos). Muchos proveedores aceptan este tipo de clausulas, aunque tienen un coste.
En cuanto al derecho de auditoría es algo más complicado. Lo normal hasta ahora es que el proveedor de servicios proporcione sin problemas evidencias de la efectividad de su marco de control en la forma de informes tipo SOC y que permita al cliente que efectúe sus propias auditorías (inlcuidas pen testing) sobre los elementos de la plataforma que controla el cliente (aunque esto debe acordarse por contrato y por supuesto tiene un coste). El tema que mencionas es claramente un tema central para el «despegue» definitivo del Cloud y algunos reguladores como el Banco Central Holandés ya han establecido acuerdos con los principales proveedores de Cloud (inlcuido AWS) para poder hacer sus propias auditorías.
Espero haberte aclarado algo el tema y espero que sigas participando. Un fuerte abrazo.