La siguiente presentación es del Mtro: Jorge vega quien el pasado martes 17 de mayo ofrecio la conferencia sobre la nube digital. Asistí a esta y me mandaron la presentación utilizada asi que se las comparto, ojalá les sirva de algo.
TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...
Mtro. Jorge Vega Iracelay computo en la nube
1. Políticas Públicas para el Cómputo
en la Nube (Cloud):
Privacidad, Seguridad y Medio
Ambiente
Foro Internacional: Sociedad, Derecho e Internet
Día Mundial del Internet
Jorge J. Vega Iracelay
Director de Asuntos Jurídicos y Corporativos
Microsoft México 1
2. Agenda
El Cómputo en la nube, en pocas palabras.
Tendencias en las políticas generadas por el cómputo
en la nube.
¿Requiere el cómputo en la nube un nuevo marco de
políticas?
Preocupaciones sobre Privacidad, Seguridad y Medio
Ambiente.
Flujo transfronterizo de datos, tensión en múltiples 2
jurisdicciones.
3. Impacto de la Tecnología en las Decisiones
de los Reguladores y Funcionarios que
crean Políticas Públicas
3
Source: modified from Guarding Our Future Protecting Our Nation ’s Infrastructure
Toffler Associates 2008
4. ¿Qué es “cómputo en la nube”?
Depende a quien le preguntas . . .
El cómputo en la nube ofrece poder de software y
computación a usuarios como un servicio brindado a través
de Internet
Servicios + aplicaciones de plataforma de software
mediante servidores de archivo remotos
Muchos “sabores” diferentes de cómputo en la nube
Consumidor vs. Empresarial
Nube pública, dedicada o privada
¿No es esto tercerización de servicios? 4
5. Resumen de Servicios en la Nube
Aspectos Fundamentales
Consideraciones
Ubicación
Infraestructura
Modelo Negocio
Propiedad
5
Administracion
5
7. Cómputo en la Nube en Microsoft
El cómputo en la nube no es nuevo
para Microsoft.
Desde Hotmail a Xbox Live,
Microsoft tiene 16 años de
experiencia en el cómputo en la
nube.
Microsoft invierte más de 9 mil
millones de dólares al año en
investigación y desarrollo.
Microsoft está invirtiendo
fuertemente en infraestructura en la
nube y en productos y plataformas
inter-operables que aseguran
flexibilidad, seguridad, privacidad y 7
opciones para sus clientes.
8. La Diferencia de Microsoft
Mark Zuckerberg:
La privacidad ya no es una norma social
Mark Wolf:
La privacidad es como la virginidad, en realidad nadie la quiere
¿Cierto / falso?
8
9. Inversión de Nube Seguridad y Disponibilidad de El dinamismo de la Nube
• $2.3MM invertidos en la Nube Nube • >6,500 empresas suscritas
• >$1MM en centros de datos • 99.9% tiempo funcionamiento, • Más de 7,000 revendedores
ya construidos SLA con respaldo de $ BPOS, creciendo a
• Mega CD: 9 - 11 campos • 99.95%+ tiempo real de 100/semana
football con suficiente. Cable funcionamiento • Más de 25,000 pruebas BPOS
para envolver la tierra varias • Cumplimiento con SAS 70 y y creciendo
veces ISO 27001 • Más de 2,000 aplicaciones
• Más de 1,000 personas en • Certificación Cyber Trust a Azure y creciendo (publicado
ingeniería y operaciones aplicaciones y física el 1/4/2010)
• Reducciones de energía • Acceso seguro 24x7
innovadoras • Control en la biométrico
Experiencia Operacional Demostradade accesoNube
• BPOS: >1.5 millones de asientos •vendidos enc/ video cámara
Vigilancia 36 países
• •
Protección en Línea Forefront paraCentro de datos dentro de centro correos electrónicos procesados al
Exchange:>100 mil millones
de datos
mes
• Azure: 100s de aplicaciones comerciales críticas en Azure a publicarse el 1/4/2010
• Office Live Meeting: 7 años, >1M pequeñas empresas , 5 mil millones minutos/años de conferencias
• Buscador Bing: 11 años, >3MM consultas/mes, Índices: 10MM+ documentos, 400M+ imágenes, 7M+
respuestas instantáneas
• MSN: 13 años, 550M usuarios/mes, 46 mercados, 21 idiomas, 10MM+ vistas página/mes
• Windows Live - Live ID: > 500M usuarios activos, 1MM+ autenticaciones/día, Hotmail: 15 años, 450+M
usuarios activos, bloqueo de 3.4MM correos no deseados al día, Messenger: 9.9MM mensajes/día,
>314M cuentas activas, Spaces: 8M fotos cargadas/día, Suite: 265M descargas Windows Update: 12
Los años, Envía un petabyte de actualizaciones cada mes a millones de servidores y cientos de millones de
Centros de Datos de Microsoft operan >200 servicios con cientos de millones de clientes en el
computadoras personales
mundo.
9
10. Tendencias Actuales: Privacidad en la Nube
Numerosas violaciones a datos de alto perfil reflejan una
inadecuada gobernanza de datos en las organizaciones;
Falta de conocimiento de los rastros que se dejan en
Internet;
Identidad digital / conducta digital;
Las búsquedas y publicidad en línea son cada vez más el
centro del escrutinio de la privacidad;
Redes sociales / blogs bajo el microscopio de la
privacidad;
Algunos consumidores abogan por ir en contra del uso de
servicios de almacenamiento en la nube, especialmente
para los datos personales de salud y otros datos sensibles,
debido a inquietudes de privacidad. Diversas leyes sobre
privacidad dificultan el manejo de los datos, tanto para las
organizaciones, como para los propios dueños de los
10
datos.
11. ¿“La Nube” requiere un
nuevo marco de
privacidad?
Los problemas de privacidad
son los mismos que se han
tenido con los servicios en
línea en los últimos 16 años.
Pero conforme se mueven
más datos a la nube, las
grietas en el marco de trabajo
se ven más expuestas.
Necesidad de definir
claramente la función del
proveedor de servicio.
Conflictos jurisdiccionales.
Deficiencias y
ambigüedades en la ley. 11
12. Funciones del proveedor
de servicios en la nube
Servicios al consumidor vs. Servicios empresariales
Controlador de datos vs. Procesador de datos
En ocasiones, un proveedor de servicios puede
cumplir con ambas funciones
Las políticas y prácticas pueden ser diferentes
dependiendo de las funciones
Por ejemplo, uso de datos por el proveedor de la
nube
En algunos casos, no es claro donde trazar la línea
entre procesador y controlador
¿Quién es responsable del cumplimiento, el proveedor
del servicio o el cliente empresarial?
12
13. Preguntas que se debe hacer a un
proveedor de servicios de la nube
¿Cuáles son las políticas del proveedor
respecto al uso de datos?
¿Cuáles son las prácticas de seguridad de la
compañía y qué certificaciones tiene?
¿Qué controles y opciones están disponibles?
13
14. Prácticas de uso de datos del proveedor
de servicios
¿Cómo acceden y utilizan los proveedores de servicios en la nube
a los datos del cliente?
¿Los datos del cliente se escanean / minan para fines de
publicidad?
¿Está permitido el análisis de datos para mejorar el servicio?
¿Algún otro uso “secundario” de datos del cliente?
Vinculado a la cuestión de si el proveedor de servicio en la
nube es un “controlador de datos” o un “procesador de datos”
¿Es diferente para servicios de consumidor vs. empresariales?
Portabilidad de datos: ¿Qué facilidad existe de exportar datos a
almacenamientos locales y/u otro proveedor en la nube?
Modelo de software local + Nube vs. ofertas sólo de nube
¿Qué tan transparentes son los proveedores de servicios sobre
sus prácticas (y las opciones y controles disponibles)? 14
15. What is online
behavioral
advertising?
Se define regularmente
como rastreo de conducta
de usuario entre múltiples
sitios de Internet no
relacionados y el uso de
información de rastreo para
publicidad dirigida
15
18. Privacidad y Publicidad Relacionada a Pautas de
Comportamiento
Fuentes y volúmen de datos recopilados y utilizados
Conducta de navegación en Internet
Rastreo de redes de publicidad a través de sitios
múltiples
Consultas de búsquedas
Otros datos
Naturaleza de datos recopilados y utilizados para ¨targeting¨
¿Identificable como “Anónima,” “Seudónima” o Personal?
Categorías sensibles de datos
Datos compartidos y agregación
Usos adicionales de datos sobre pautas de comportamiento
más allá de la publicidad
Protección de datos: ¿cuál es el riesgo de robo o pérdida?
Falta de transparencia y control
Niños y otra población vulnerable
¨Targeting¨ está yendo demasiado lejos (discriminación de 18
precios, determinación racial de perfiles)
19. Una breve historia de escrutinio legal de los
Estados Unidos (respuesta auto-reguladora)
1999: Combinación propuesta de datos en cadena de Clicks DobleClick con
datos fuera de línea en Abacus conduce a investigaciones de AG estatales y
escrutinio de FTC de la determinación de perfil en línea
2000: Formación de Iniciativa de Publicidad de Red (NAI) y principios
auto-reguladores
2002: Convenio de DoubleClick con AG estatales
2007: La adquisición de DobleClick por parte de Google concentra la
atención de autoridades en publicidad en línea y consolidación de la
industria
2007: FTC lleva a cabo una reunión de “Town Hall” en la que se examina la
publicidad relacionada a pautas de comportamiento y publica los principios
propuestos para la auto-regulación
2008: Lineamientos de NAI revisados
2009: FTC publica principios finales
2009: IAB, DMA y otros publican reglas auto-reguladoras que van más
allá de los principios NAI
2009-2010: Mesas redondas de privacidad de FTC, con un gran enfoque en
publicidad en línea
2010: FTC publica reporte preliminar de privacidad con énfasis 19 ¨Do not
en
track¨
Microsoft y Mozilla anuncian nuevas características de navegadores “Do Not
20. Entorno regulador en Europa
Enfoque integral actual sobre la protección de datos.
1995 Directiva sobre Protección de datos
2002 Directiva «ePrivacy» (según enmienda en 2009)
Junio 2010 Dictamen de Artículo 29 “Working Party” (Parte de Trabajo) sobre
publicidad relacionada con pautas de comportamiento.
Continúan tendencias previas de lecturas expansivas de las Normas
Definición de “datos personales” para incluir direcciones IP e identificaciones
de “cookies”
Jurisdicción sobre la base de establecimiento de un ¨cookie¨ = “uso de
equipo”
Interpreta Artículo 5(3) de la Norma ¨ePrivacy¨ como el requerimiento de
consentimiento opcional previo para ¨cookies¨; las configuraciones de navegador
son insuficientes
Capacidad para revocar el consentimiento
Limitación de tiempo del consentimiento (1 año)
Consentimiento ¨opt-in¨ adicional para categorías sensibles de datos
No hay uso de categorías de interés dirigidas a niños
Derecho del usuario para acceder y eliminar perfiles de conducta (y datos de
conducta subyacentes) 20
Retención de datos limitada y justificada
Diciembre de 2010 cartas enviadas a redes de anuncios y compañías de buscadores
21. Pocas Mejores Prácticas de
Auto-Regulación (industria
de TI)
Transparencia
Texto / icono en o junto a anuncios
Avisos de privacidad fáciles de encontrar o
comprensibles (por ejemplo, avisos en
niveles, uso de lenguaje simple)
Obligación de anunciantes de avisos para
paso de las prácticas de redes de anuncios
Otros medios de transmitir las prácticas de
una compañía
Controles de Redes de anuncios
¨Opt-out¨ individual de redes de anuncios
Métodos para hacerlas más duraderas
Participación en páginas ¨opt-out¨ de toda
la industria (NAI y DAA) 21
22. Pocas Mejores Prácticas
de Auto-Regulación
(industria de TI)
Controles de navegador
Controles de ¨Cookie¨
Características ¨Do-Not-
Track¨
Enfoque de encabezado
Listas de Protección de
Rastreo IE8 InPrivate y IE9
Gestión y seguridad de datos
Retención de datos
Seguridad de información 22
Anonimato
23. Seguridad de datos
¿Cuáles son los riesgos (y beneficios) de la nube?
Prácticas de proveedor de servicio
¿El proveedor de servicio tiene un programa documentado de
seguridad de la información y qué dice?
¿Qué certificaciones de seguridad tiene el proveedor de servicio?
Normas industriales
ISO: 27001 / IEC / SOX / PCIDSS / FISMA
Certificaciones internacionales
Legislación / funciones y responsabilidades
Requerimiento de leyes sólidas para ayudar a frustrar ataques a la
seguridad
¿Cuál es la responsabilidad de cada una de las partes, por
ejemplo, en caso de una violación a datos? 23
Necesidad de aclarar con anticipación
28. Flujos transfronterizos de datos
Eficiencias y otros beneficios de cómputo en
la nube se logran cuando los datos pueden
fluir libremente entre fronteras.
Las leyes de privacidad que limitan estos
flujos pueden ser un impedimento.
Restricciones europeas
¨Safe harbor¨, cláusulas modelo, reglas
corporativas obligatorias (BCR, por sus
siglas en inglés)
Estatutos de protección adecuados:
Argentina y Uruguay 28
29. Tensiones jurisdiccionales
¿Dónde están los datos? ¿en qué fase?
¿Cómo pueden moverse los datos entre fronteras?
Tensiones creadas por diferentes países que
establecen jurisdicción sobre datos
¿Cuánto importa la ubicación de los datos?
29
30. Afirmaciones extraterritoriales de
jurisdicción por parte de gobiernos
Varios gobiernos han sido especialmente agresivos al
establecer la jurisdicción sobre los datos (por ejemplo, Brasil
e Italia)
En algunos casos, crean un conflicto directo de leyes.
Intercepciones electrónicas en los Estados Unidos a
nombre de un gobierno extranjero.
Reglas de privacidad requieren la reducción al mínimo vs.
obligaciones de retención de datos (especialmente en
Europa).
En algunos casos, están en juego valores y reputación.
Acceso en general de procuración de justicia.
Inquietudes sobre recursos humanos (libertad de 30
expresión vs. contenido ilegal).
En algunos casos, sólo se vuelve una pesadilla de
31. Acceso a datos por parte de autoridades de
justicia de los Estados Unidos
¿Cuál es el equilibrio correcto entre derechos de
privacidad individual y la necesidad de que las
entidades gubernamentales atrapen a delincuentes y
terroristas?
¿Debería haber una diferencia si uno almacena datos
en el hogar o en la nube?
La aplicabilidad de la 4a enmienda sobre la nube es
poco clara.
Necesidad de que ECPA se reforme para aclarar31
/
mantener / restablecer el equilibrio.
32. Acceso a datos en el extranjero por parte
de las autoridades de procuración de
justicia de los Estados Unidos
¨PATRIOT ACT¨: Las agencias de procuración de
justicia de los Estados Unidos pueden solicitar a
alguna entidad con presencia en los Estados Unidos
que presente datos que se conservan fuera de los
Estados Unidos, de esa entidad que tiene “posesión,
custodia o control” de los datos
Co- existencia con Tratados de Asistencia Mutua y
Cartas Rogatorias
¨Due process¨ y otros derechos legales evaluados por
un Tribunal Federal.
Canadá y el Reino Unido tienen leyes extraterritoriales
similares.
Las Ordenes de Vigilancia en comunicaciones 32
electrónicas son mucho más altas en Italia o Alemania
33. Otras posibles soluciones /
mitigaciones bilateral, multilateral y de múltiples
Mayor compromiso
participantes por parte de gobiernos, sector privado y la
sociedad civil
Podría estar en cualquier punto, desde intervención
caso por caso hasta un acuerdo de tratado formal.
¿Cuál es el mejor foro / mecanismo?
Mayor opción y control del usuario
Transparencia (y en algunos casos, opción) respecto
de ubicación geográfica de datos
Exportación y portabilidad de datos
Modelo Software + servicios vs. oferta sólo de nube
Encriptación controlada por usuario
¿Qué más? 33
34. Conclusión
A pesar del trabajo activo de varios años, la guía legal
es insuficiente.
La publicidad en línea relacionada con conductas es un
área que continúa evolucionando rápidamente.
Urgida por un escrutinio regulador, la industria ha
tomado medidas para desarrollar herramientas
tecnológicas y mejores prácticas.
Continuar las pláticas y avanzar la ley a futuro para
mantener el paso con las nuevas tecnologías. 34
35. Mark Zuckerberg:
«La privacidad ya no es una norma social »
Mark Wolf:
«La privacidad es como la virginidad, en realidad
nadie la quiere»
¿Cierto/falso?
35
36. Recursos sobre Privacidad en la Nube
Recursos de Microsoft referentes a privacidad en
http://www.microsoft.com/privacy/cloudcomputing.aspx
Discurso de Brookings Institute por Brad Smith:
http://www.brookings.edu/events/2010/0120_cloud_com
puting.aspx
http://www.microsoft.com/presspass/presskits/cloudpolic
y
36