Cloud Computing - Principales Servicios - Bases de datos en la "Nube" y sus aspectos técnicos jurídicos

CLOUD COMPUTING

1. ¿Qué es el Cloud Computing?

El Cloud Computing o computación en la nube es un modelo de prestación de servicios informáticos que permite el acceso remoto, a través de Internet, a recursos como almacenamiento, procesamiento y software, sin necesidad de una infraestructura física propia. Desde el punto de vista jurídico, este modelo plantea desafíos en relación a la propiedad de los datos, responsabilidades contractuales, protección de datos personales, y jurisdicción aplicable.

2. Modelos de servicio en la nube

2.1. SaaS (Software as a Service)

¿Qué es?
El proveedor ofrece directamente una aplicación lista para usar a través de internet.

Ejemplos:

• Google Workspace (antes G Suite): Gmail, Google Drive, Docs, etc.

• Salesforce: CRM en la nube.

• Dropbox: Almacenamiento de archivos.

Responsabilidad Técnica:
El cliente solo usa la aplicación; no gestiona servidores, bases de datos ni sistemas operativos.

Cuestiones Jurídicas:

• Protección de datos: El proveedor procesa datos personales en nombre del cliente (art. 2 y 25 de la Ley 25.326 de Argentina + GDPR en Europa).

• Contratos de licencia: Muchas veces en SaaS no hay "compra" de software, sino un contrato de uso (licencia limitada y revocable).

• Jurisdicción y normativa aplicable: ¿Dónde están almacenados los datos? ¿Qué ley rige el contrato?

2.2. PaaS (Platform as a Service)

¿Qué es?
El proveedor ofrece un entorno de desarrollo completo: bases de datos, servidores de aplicaciones, herramientas de programación, etc.
El programador desarrolla y despliega sus aplicaciones en esa plataforma.

Ejemplos:

• Heroku: Plataforma para desplegar aplicaciones web.

• Google App Engine: Servicio de Google para desarrollo de aplicaciones.

• Microsoft Azure App Services.

Responsabilidad Técnica:
El cliente gestiona su código y configuraciones de su aplicación, pero no se ocupa de la infraestructura subyacente (hardware, redes, almacenamiento).

Cuestiones Jurídicas:

• Responsabilidad compartida: El proveedor asegura la infraestructura, pero el cliente debe asegurar que su aplicación cumpla con requisitos legales (por ejemplo, que no maneje datos personales en forma insegura).

• Licencias y propiedad intelectual: ¿Quién es el dueño del código desarrollado en la plataforma?

2.3. IaaS (Infrastructure as a Service)

¿Qué es?
El proveedor ofrece infraestructura virtualizada: servidores, redes, almacenamiento, recursos de computación.

Ejemplos:

• Amazon Web Services (AWS) EC2: Instancias de servidores.

• Microsoft Azure Virtual Machines.

• Google Compute Engine.

Responsabilidad Técnica:
El cliente gestiona el sistema operativo, el middleware, los datos, y las aplicaciones.
El proveedor se encarga de la infraestructura física.

Cuestiones Jurídicas:

• Seguridad de la información: El proveedor debe garantizar disponibilidad, integridad y seguridad física de la infraestructura.

2.4. BaaS (Backend as a Service)

¿Qué es?
Un proveedor ofrece servicios listos para usar del "backend" de una aplicación: bases de datos, autenticación de usuarios, almacenamiento de archivos, notificaciones push, etc.

Ejemplos:

• Firebase de Google: backend para apps móviles y web.

• AWS Amplify.

Responsabilidad Técnica:
El desarrollador solo se enfoca en la lógica de negocio; el backend (servidores, bases de datos, APIs) ya está preconstruido.

Cuestiones Jurídicas:

• Gestión de datos de usuarios: Especialmente relevante si el servicio maneja datos personales o sensibles (por ejemplo, en apps de salud o financieras).

• Transferencia internacional de datos: Si los servidores están en otro país, deben respetarse tratados de protección de datos (por ejemplo, Decisión de Adecuación UE-Argentina).

2.5. DBaaS (Database as a Service)

¿Qué es?
Un proveedor ofrece bases de datos completas como servicio en la nube, gestionando automáticamente su instalación, mantenimiento, respaldo, escalabilidad y seguridad.

Ejemplos:

• MongoDB Atlas: base de datos NoSQL gestionada.

• Amazon RDS: bases de datos relacionales (MySQL, PostgreSQL, SQL Server).

• Firebase Firestore: base de datos NoSQL en tiempo real.

Responsabilidad Técnica:
El cliente utiliza la base de datos mediante APIs o conexiones estándar, sin administrar servidores, parches o configuraciones internas. Se enfoca únicamente en la estructura y manipulación de los datos.

Cuestiones Jurídicas:

• Responsabilidad sobre los datos: Aunque la base sea gestionada por el proveedor, el cliente sigue siendo el responsable del cumplimiento de normativas de protección de datos (por ejemplo, Ley 25.326 en Argentina o GDPR en Europa).

• Transferencia internacional de datos: Es fundamental verificar la ubicación de los servidores y la existencia de acuerdos adecuados para la transferencia internacional de datos (como cláusulas contractuales tipo o decisiones de adecuación).

3. MongoDB y MongoDB Atlas

MongoDB es un software, de propiedad de MongoDB Inc. fundada en 2007 en Nueva York, que entra en la clasificación de "Gestores de Bases de Datos", y que posee una estructura NoSQL y funciona para gestionar bases de datos.

MongoDB Atlas es la plataforma como servicio (PaaS) oficial de MongoDB que permite usar bases de datos MongoDB en la nube sin tener que instalar, configurar ni mantener servidores. Puedes desplegar bases de datos en proveedores como AWS, Google Cloud o Azure, y escalar según tus necesidades. Este uso se realiza bajo demanda y es altamente configurable según las necesidades del usuario proporcionando:

infraestructura remota y escalable.

Es accesible desde cualquier lugar con conexión a Internet.

Funciona con un modelo "paga solo por lo que usas".

Automatiza backups, monitoreo, seguridad y escalabilidad.

4. Términos del servicio

4.1 SLA (Service Legal Agreement)

Los términos y condiciones respecto de las obligaciones y derechos de indemnización del cliente por el uso del servicio están formuladas de la siguiente forma:

Obligaciones del Cliente (Customer Obligations)

Para que el cliente tenga derecho a un crédito por servicio:

1. Reporte oportuno del problema:
   Debe abrir un ticket con soporte técnico de MongoDB dentro de las 24 horas desde que se enteró de la caída.

2. Plazo para reclamar:
   Debe presentar la reclamación con toda la documentación antes de que finalice el mes siguiente al mes en que ocurrió el problema.

3. Documentación de respaldo:
   Debe incluir en la reclamación:

   • Descripción detallada del evento y los registros (logs) de las solicitudes que prueben el error.

   • Tiempo y duración del problema.

   • Cantidad y ubicación de los usuarios afectados.

   • Intentos realizados para resolver el problema.

4. Cooperación:
   El cliente debe ayudar razonablemente a MongoDB a investigar lo ocurrido.

5. Cumplimiento:
   El cliente debe haber cumplido con el contrato de servicio, la documentación oficial y las recomendaciones del soporte técnico.

Créditos por Servicio (Service Credits)

• MongoDB se compromete a revisar las reclamaciones en 45 días.

• Si todo está en orden, otorgan un Service Credit solo para el mismo clúster afectado.

• No se aplica a otros servicios o clusters.

• Estos créditos son la única compensación posible por parte de MongoDB en caso de Downtime.

El cliente no tendrá derecho a compensación si la caída fue causada por:

1. Fuerza mayor o causas externas: desastres naturales, terrorismo, guerras, fallos de red ajenos a MongoDB, etc.

2. Fallos de terceros: como los proveedores de infraestructura en la nube (AWS, GCP, Azure).

3. Uso indebido del acceso: si alguien usa la contraseña o equipo del cliente para causar problemas.

4. Uso incorrecto o mal configurado del servicio por parte del cliente o un tercero.

5. Si el servicio afectado es una versión beta de MongoDB.

4.2 DPA (Data Processing Agreement)

Este acuerdo es un anexo del SLA y dispone el tratamiento de datos de la siguiente forma.

I) Alcance y Roles (Scope and Roles):

• Cuándo aplica este DPA:
  Este acuerdo se aplica cuando MongoDB procesa datos personales del cliente que están regulados por leyes de protección de datos (por ejemplo, GDPR en Europa o leyes similares en otros países).

• Roles de las partes:

  • MongoDB actúa como un procesador de datos (processor).

  • El Cliente puede actuar como un responsable (controller) o también como un procesador, dependiendo del caso.

• Aclaración importante:
  Este DPA no cubre el tratamiento de datos que esté regulado por DORA (el Reglamento Europeo sobre resiliencia operativa digital para el sector financiero).

  • Si el cliente necesita que su relación con MongoDB esté cubierta por DORA, eso se tratará en otro contrato separado.

Exclusión de DORA:
DORA impone obligaciones especiales de seguridad, resiliencia y gobernanza de TIC en el sector financiero (bancos, aseguradoras, fintechs, etc.).
MongoDB aclara que este DPA no cubre esas obligaciones específicas.
➔ Si el cliente está sujeto a DORA (por ejemplo, un banco usando MongoDB), se necesitará otro acuerdo aparte que contemple las exigencias específicas de resiliencia operativa, reportes de incidentes, etc.

II) Technical and Organizational Security Measures:

-General

• Programa de Seguridad de la Información:
  MongoDB tiene un programa escrito que:

  • Establece medidas administrativas, técnicas y físicas para proteger los datos de los clientes.

  • Permite identificar, detectar, protegerse, responder y recuperarse de incidentes de seguridad.

• Cumplimiento legal:
  El programa cumple con las leyes de protección de datos que correspondan.

• Referencias y certificaciones de seguridad:
  MongoDB Atlas:

  • Está alineado con el NIST Cyber Security Framework (estándar muy reconocido en ciberseguridad).

  • Posee certificaciones de seguridad reconocidas a nivel mundial:

    • ISO 27001:2013 (gestión de seguridad de la información).

    • ISO 27017:2015 (controles de seguridad específicos para cloud).

    • ISO 27018:2019 (protección de datos personales en la nube).

    • SOC 2 Type II (controles sobre seguridad, disponibilidad, confidencialidad, etc.).

    • PCI DSS v4 (norma para proteger datos de tarjetas de pago).

    • CSA STAR Level 2 (seguridad en servicios cloud validada externamente).

  • Además, MongoDB Atlas:

    • Se sometió a un examen de cumplimiento de HIPAA (ley de protección de datos de salud en EE. UU.).

    • Puede configurarse para construir aplicaciones que cumplan HIPAA.

-Maintenance and Compliance

• Equipo dedicado:
  MongoDB tiene un equipo de seguridad liderado por un Chief Information Security Officer (CISO).

• Supervisión y formación:

  • Monitorean continuamente el cumplimiento de su programa de seguridad.

  • Capacitan a su personal de manera constante.

• Actualización regular:

  • Revisan y actualizan el programa de seguridad al menos una vez al año para adaptarlo a:

    • Cambios en la organización.

    • Cambios en prácticas comerciales, tecnología, servicios o leyes.

  • Compromiso: MongoDB se compromete a no modificar el programa de seguridad de manera que debilite sus controles.

III) Centros de datos y almacenamiento físico

• Proveedores de infraestructura:
  MongoDB Atlas funciona sobre tres grandes plataformas de nube:

  • AWS (Amazon Web Services)

  • Azure (Microsoft)

  • GCP (Google Cloud Platform)

• Elección del cliente:
  El cliente elige qué proveedor usar para su base de datos MongoDB Atlas.

• Responsabilidad de seguridad:
  Cada proveedor de nube (AWS, Azure o GCP) es responsable de la seguridad física de los centros de datos donde se aloja la información.

• Normas de seguridad:
  Los data centers cumplen con estándares de seguridad física y de información, que se pueden consultar en las páginas oficiales de cada proveedor.

• Auditoría periódica:
  MongoDB o auditores externos hacen controles de cumplimiento de seguridad sobre sus proveedores dos veces al año.

• Control de ubicación:
  El cliente puede elegir la región geográfica donde se almacenarán sus datos (por ejemplo, dentro de la Unión Europea o solo en EE.UU.).

CONSIDERACIONES FINALES