MODELO DE RESPONSABILIDAD COMPARTIDA
CONFIDENCIALIDAD
Marcas
Los servicios y productos que ofrece SMOOTHCLOUD LLC (en lo sucesivo “SmoothCloud”), son marcas registrada de
SmoothCloud LLC y/o de sus empresas relacionadas. Otras marcas y nombres comerciales pueden utilizarse en este
documento, haciéndose referencia a las entidades propietarias de las marcas y/o los nombres de sus productos.
SmoothCloud renuncia a cualquier interés propietario en las marcas y los nombres de terceros.
Nuestro relacionamiento
Este documento no es un contrato. Cuando manejamos nuestros negocios, nuestra relación comercial estará regida por los
términos y condiciones estándar de SmoothCloud excepto que se haya negociado un acuerdo escrito por separado.
SmoothCloud tendrá cuidado para revisar y verificar la información provista en este documento. Sin embargo, no será
responsable por errores u omisiones que puedan ocurrir en la elaboración de este documento o como resultado del paso del
tiempo. Adicionalmente, SmoothCloud puede mejorar o cambiar esta presentación o cambiar o mejorar sus ofertas de
servicios en el tiempo. Contacte por favor a su representante de ventas para actualizaciones o validaciones de la
información en este documento.
Confidencialidad
La información provista a EL CLIENTE, (en lo sucesivo “EL CLIENTE”, o “El Cliente o El Distribuidor”) para el propósito
de este documento es considerada como Confidencial. Esta información está protegida por el documento de acuerdo de
confidencialidad entre EL CLIENTE y SmoothCloud.
La información contenida en este documento es propia y confidencial. No puede ser compartida, divulgada ni discutida
fuera de la audiencia a la que es dirigida; en primera instancia, sin el permiso por escrito correspondiente. El Cliente
no está autorizado a fotocopiar o reproducir electrónicamente este documento sin el permiso por escrito correspondiente.
Cada persona a la que se le dirige este documento reconoce por la retención y el uso, la naturaleza confidencial del
material contenido adjunto; y, acuerda prevenir la distribución de este documento, más allá de la audiencia prevista.
SmoothCloud ha hecho todo lo posible para incluir en este documento los materiales que se consideran confiables y
relevantes para el propósito de evaluación del receptor. Ni SmoothCloud ni sus representantes otorgan ninguna garantía
en cuanto a la exactitud o totalidad de la información. Por consiguiente, este documento se extiende únicamente para
efectos informativos con el objeto de que SmoothCloud sea considerado para realizar algún negocio. Ni SmoothCloud ni sus
representantes, serán de ninguna manera responsables frente al receptor o frente a cualquiera de sus representantes como
resultado del uso de la información proporcionada.
RESPONSABILIDAD COMPARTIDA
Para SmoothCloud lo más importante como una empresa proveedora de servicios en la nube, es el obtener la confianza de
los clientes; sabemos que Usted busca en nosotros el proteger sus activos más críticos y sensibles: los datos. Nos
ganamos esta confianza al trabajar de cerca con Usted para comprender sus necesidades de protección de datos; y, al
ofrecer el conjunto más completo de servicios, herramientas y experiencia para facilitar la protección de los datos.
Para ello, proporcionamos las medidas técnicas, operativas y contractuales que se necesitan para proteger los datos. Al
utilizar la nube de SmoothCloud, usted administra los controles de privacidad de los datos, así como controla cómo se
utilizan los datos, quién tiene acceso a estos y cómo se cifran. Respaldamos estas capacidades con el entorno
informático en la nube más flexible y seguro que existe en la actualidad.
• Control de Datos
• Privacidad de los Datos
• Seguridad de datos e infraestructura
Seguridad en la nube
La seguridad en la nube hace referencia a un conjunto de políticas, controles y tecnologías para proteger los datos, las
aplicaciones y los servicios de infraestructura. Todos estos componentes trabajan juntos para ayudar a que los datos, la
infraestructura y las aplicaciones se mantengan seguros. Estas medidas de seguridad protegen un entorno informático en
la nube contra amenazas y vulnerabilidades de ciberseguridad internas y externas.
La seguridad en la nube es una responsabilidad compartida entre SmoothCloud y el cliente. El modelo de responsabilidad
de seguridad compartida es un elemento de gestión de riesgos y de seguridad en la nube fundamental para la división del
trabajo entre el proveedor del servicio de nube y el suscriptor. En los programas de seguridad en la nube, es
fundamental comprender claramente el modelo de responsabilidad de seguridad compartida de todos los tipos de servicios
en la nube. Por desgracia, también se puede decir que este modelo es uno de los conceptos de seguridad que menos se
conocen en la nube. De hecho, solo el 8 % de los directores de seguridad de la información conoce plenamente su papel en
la protección de SaaS frente a los proveedores de servicios en la nube (CSP). Dicho de forma sencilla, el modelo de
responsabilidad de seguridad compartida describe las responsabilidades del proveedor de servicios en la nube para
mantener la seguridad y la disponibilidad del servicio, las responsabilidades del cliente para garantizar el uso seguro
del servicio, así como los puntos donde ambos comparten una tarea específica.
Es necesario que las empresas conozcan sus responsabilidades. Si no se protegen adecuadamente los datos, las
consecuencias pueden ser graves y costosas. Es posible que muchas organizaciones que sufran el resultado de una
infección no puedan asumir los costes. Incluso las grandes empresas pueden ver afectadas sus finanzas. El objetivo del
modelo de responsabilidad de seguridad compartida es ofrecer flexibilidad y seguridad para poder realizar una
implementación rápida. Por tanto, las organizaciones deben conocer sus responsabilidades de seguridad en la nube, lo que
generalmente se conoce como seguridad “de” la nube, frente al concepto de seguridad “en” la nube.
PROTECCIÓN DE DATOS
Los asuntos relacionados con la seguridad y la conformidad son una responsabilidad compartida entre SmoothCloud y el
cliente. Este modelo compartido puede aliviar la carga operativa del cliente, ya que SmoothCloud opera, administra y
controla los componentes del sistema operativo host y la capa de virtualización hasta la seguridad física de las
instalaciones en las que funcionan los servicios. El cliente asume la responsabilidad y la administración del sistema
operativo invitado (incluidas las actualizaciones y los parches de seguridad), de cualquier otro software de
aplicaciones asociado y de la configuración del firewall del grupo de seguridad que ofrece SmoothCloud. Los clientes
deben pensar detenidamente en los servicios que eligen, ya que las responsabilidades varían en función de los servicios
que utilicen, de la integración de estos en su entorno de TI y de la legislación y los reglamentos correspondientes. La
naturaleza de esta responsabilidad compartida también ofrece la flexibilidad y el control por parte del cliente que
permite concretar la implementación.
Como se muestra a continuación, la diferenciación de responsabilidades se conoce normalmente como seguridad "de" la nube
y seguridad "en" la nube.
Responsabilidad de SmoothCloud en relación con la "seguridad de la nube": SmoothCloud es responsable de proteger la
infraestructura que ejecuta todos los servicios provistos en la nube de SmoothCloud. Esta infraestructura está
conformada por el hardware, el software, las redes y las instalaciones que ejecutan los servicios de la nube de
SmoothCloud.
Responsabilidad del cliente en relación con la "seguridad en la nube": la responsabilidad del cliente estará determinada
por los servicios de la nube de SmoothCloud que el cliente seleccione. Esto determina el alcance del trabajo de
configuración a cargo del cliente como parte de sus responsabilidades de seguridad. Los clientes que implementan una
instancia de Máquina Virtual son responsables de la administración del sistema operativo huésped (incluidos los parches
de seguridad y las actualizaciones) de cualquier utilidad o software de aplicaciones que el cliente haya instalado en
las instancias y de la configuración del firewall provisto o NO por SmoothCloud en cada instancia. Los clientes son
responsables de administrar sus datos (incluidas las opciones de cifrado).
El cliente es responsable del tipo de información que se genere, aloje y administre desde los servidores y servicios de
SmoothCloud y sus productos complementarios. Deberá de contar con la propiedad intelectual de la información y/o datos
que aloje en los servidores y servicios de SmoothCloud y/o con los derechos otorgados a este.
Controles físicos y de entorno
• Controles compartidos: controles que se aplican tanto a la capa de la infraestructura como a las capas de
los clientes, pero en contextos o perspectivas completamente independientes. En un control compartido, SmoothCloud
suministra los requisitos para la infraestructura y el cliente debe proveer su propia implementación de controles en el
uso que haga de los servicios de SmoothCloud. Entre los ejemplos se incluyen:
• Administración de parches: SmoothCloud es responsable de implementar parches y de corregir imperfecciones en
el interior de la infraestructura, pero los clientes son responsables de implementar parches en sus aplicaciones y
sistemas operativos huésped.
• Administración de configuración: SmoothCloud mantiene la configuración de sus dispositivos de
infraestructura, pero el cliente es responsable de configurar sus aplicaciones, bases de datos y sistemas operativos
huésped.
• Información y formación técnica: SmoothCloud capacita a los empleados de SmoothCloud, pero el cliente debe
capacitar a sus propios empleados.
• Controles específicos del cliente: controles que son de absoluta responsabilidad del cliente en función de
la aplicación que implementa dentro de los servicios de SmoothCloud. Entre los ejemplos se incluyen:
o Herramientas no provistas por SmoothCloud
o Software no provisto por SmoothCloud
o Antivirus
o Acceso a través de la red WAN
APLICACIÓN DEL MODELO DE RESPONSABILIDAD COMPARTIDA
Una vez que un cliente entiende el modelo de responsabilidad compartida de SmoothCloud y cómo se aplica en general a la
operación en la nube, debe determinar cómo se aplica a su caso de uso. La responsabilidad del cliente varía en función
de muchos factores, como los servicios de SmoothCloud y la integración de dichos servicios en su entorno de TI y las
leyes y normativas aplicables a su organización y carga de trabajo.
Los siguientes ejercicios pueden ayudar a los clientes a determinar la distribución de la responsabilidad en función del
caso de uso específico:
• Determine la seguridad externa e interna y los requisitos y objetivos de cumplimiento relacionados, y tenga
en cuenta los marcos de la industria como el Marco de Ciberseguridad (CSF) del NIST y la ISO.
• Evalúe los Servicios de seguridad e identidad a fin de comprender cómo pueden utilizarse para ayudar a
cumplir sus objetivos de seguridad.
• Revise los documentos de certificación de auditorías de terceros para determinar los controles heredados y
los controles requeridos que pueden quedar por implementar en el entorno.
• Lleve a cabo una revisión de sus cargas de trabajo de la nube de SmoothCloud para evaluar la implementación
de las prácticas recomendadas en materia de seguridad, fiabilidad y rendimiento.
Explore las soluciones disponibles de SmoothCloud con listados de soluciones de software de proveedores que le permiten
encontrar, probar, comprar e implementar software que se ejecuta en la nube de SmoothCloud.
Para todos los tipos de implementación de nube, EL CLIENTE es propietario de los datos y las identidades. Asimismo, es
responsable de proteger la seguridad de los datos y las identidades, los recursos locales y los componentes en la nube
que controla (que varía según el tipo de servicio).
Con independencia del tipo de implementación, EL CLIENTE siempre conserva las siguientes responsabilidades:
• Data
• Puntos de conexión
• Cuenta
• Administración de acceso
En el enfoque habilitado para la nube, también puede aprovechar las funcionalidades de seguridad basadas en la nube para
conseguir mayor eficacia y usar la inteligencia en la nube para mejorar la detección de amenazas y el tiempo de
respuesta. Con la transferencia de responsabilidades al proveedor de nube, las organizaciones pueden obtener más
cobertura de seguridad, lo que les permite reasignar recursos de seguridad y presupuestos a otras prioridades
empresariales.