Para que una empresa pueda trabajar con un Almacenamiento de Archivos en la Nube hay varios requisitos imprescindibles.
CUMPLIR CON LA LOPD
El proveedor debe cumplir con la LOPD (Ley Orgánica de Protección de Datos). Esto es imprescindible en Europa y en la mayoría de países de Latinoamérica. El proveedor debe cumplir las normas de privacidad, confidencialidad, seguridad y protección de datos, este es un indicativo de que el proveedor no manipula ni comercia con los datos de sus suscriptores.
Este cumplimento nunca debe confundirse con los datos propios datos de la empresa. Una empresa puede hacer lo que quiera con sus propios datos pero nunca aplicar este criterio con los datos de sus clientes. A una empresa le pueden importar poco a nada sus datos, las normas no se aplican en este contexto. Las normas se aplican porque la empresa maneja datos de clientes y aquí es dónde debe cumplir con las normativas de protección de datos o normativas LOPD. La empresa en definitiva, no es la propietaria de los datos de sus clientes, simplemente puede usarlos para prestar un servicio mientras exista una relación contractual con el cliente.
¿Como saberlo?
La empresa proveedora del servicio ha de declarar en su página web y en las condiciones legales del servicio que cumple con las normas. La empresa se mostrará dispuesta a firmar los contratos LOPD previstos en las normativas. La empresa no tendrá problemas en declarar públicamente dónde realiza el almacenamiento de los datos. Si la empresa almacena los datos en territorios dónde no se cumplen las normas, tal y como ocurre en Estados Unidos, no puede cumplir con las leyes de Protección de Datos. La mayoría de los servicios de consumo gratuitos y uso masivo no cumplen las normativas.
I. PERMISOS DE ACCESO
El software he de contar con un sistema que permita asignar permisos de acceso según cada usuario. Una empresa nunca debe permitir el libre acceso a sus carpetas y archivos. Cuando una empresa comparte información con un usuario, debe ser consciente de qué es lo que comparte, cuando y como. Esto no es solo una medida se seguridad, también proporciona un control sobre la información.
¿Como saberlo?
El software dispondrá de algún tipo de gestión de usuarios y permisos de acceso. Sobre estos usuarios se podrá conceder o denegar permisos de acceso en cualquier momento. No valen los sistemas que permiten compartir archivos de forma libre y mediante enlaces, estos enlaces pueden terminar en redes sociales o circulando por Internet sin que sepamos quién y cuando está accediendo a la información de nuestra empresa.
II. CONTROL DE ACCIONES O WORKFLOW
Cuando una empresa utiliza algún software de manejo de archivos, es necesario poder saber qué ha pasado en la vida de esos archivos. El software ha de proporcionar algún mecanismo de historiales o workflow de los archivos. Estos mecanismos indicarán quién ha realizado acciones sobre los archivos, que acciones se han realizado y cuando. Una empresa debe poder establecer responsabilidades internas en cuanto al uso de la información según las personas que las han utilizado.
¿Como saberlo?
El software debe disponer de historiales o workflow de las acciones realizadas sobre los archivos del sistema. Si además, se pueden generar informes mucho mejor.
III. MEDIDAS QUE EVITEN PERDIDAS
El software ha de disponer de medidas que eviten las pérdidas de la información almacenada. Cualquier usuario no debería poder borrar la información de la empresa. Del mismo modo, cualquier usuario no debería poder modificar la estructura de archivos y carpetas de la empresa. Los programas basados en la sincronización permiten esto y por eso no son apropiados para las empresas, no se puede permitir que cualquiera cambie desde su carpeta sincronizada las carpetas y archivos de la empresa. En una empresa el borrado definitivo de los archivos debe ser responsabilidad de una sola persona.
¿Como saberlo?
El software debe establecer reglas en este sentido. Mediante los permisos de acceso se garantiza que cada usuario solo acceda a la parcela de información compuesta por archivos y carpetas que debe manejar. Por ejemplo, una forma de hacer esto es conceder permisos por departamentos, entonces los del departamento de marketing no tienen por qué acceder a las carpetas de contabilidad o dirección.
El software ha de proporcionar un mecanismo de recuperación de los archivos o carpetas borrados por el personal. Esto se consigue si el programa dispone de una especie de Papelera de Reciclaje cuyo borrado definitivo solo puede realizarse por una persona responsable del sistema, lo que suele llamarse el Administrador del sistema.
El software también debe de disponer de mecanismos de recuperación de una archivo modificado. Se debe poder recuperar una versión anterior de una archivo cuando por algún tipo de error humano la versión actual ya no sea válida.
IV. CONTROL DE ENLACES Y DE EMAILS ENVIADOS
En la empresa hay que tener mucho cuidado con los enlaces para compartir archivos. Los sistemas han de permitir un control del acceso a esos enlaces. Son archivos de la empresa distribuidos y enviados mediante enlaces que no se sabe bien dónde pueden terminar.
¿Como saberlo?
El software dispondrá de un control de los accesos a los enlaces enviados. Los enlaces tendrán un tiempo de vida, bien limitados por el número de accesos o por una caducidad. Los sistemas que permiten la generación de enlaces sin control y de libre acceso no son adecuados para las empresas. Por poner un ejemplo, si se envía un contrato a un cliente mediante un enlace no podemos permitir el libre acceso a ese enlace, imagina que alguien copia y pega ese enlace en Facebook, miles de personas podrían descargar el contrato.
En general:
Como norma general también han de aplicarse criterios de sentido común. Como en en el mundo real se puede intuir con quién estamos tratando.
El proveedor debe tener una presencia física y ser una empresa con una localización física comprobable. No es buena señal que el proveedor no indique su localización física ni que esté en paraísos fiscales o lugares dónde no se cumplen las normas de protección de datos. Se puede comprobar mediante contacto por email si el proveedor atiende a sus clientes y se trata de una empresa real y que está viva. No es buena señal que el proveedor ofrezca capacidades de almacenamiento enormes o gratuitas porque cumplir con criterios de calidad, seguridad o estabilidad de los datos cuesta dinero. Si el proveedor declara públicamente dónde almacena los datos es muy buena señal y nos podrá permitir comprobar por la web si el lugar de almacenamiento cuenta con certificaciones de seguridad y medidas de protección de los datos.
Veo también que lo que se requiere para tener acceso a la nube es o bien dinero para un servicio privado o bien acogerse a muchos servicios gratuitos de nubes que existen.
Hola, gratis no hay nada, el producto sería el usuario de esa nube gratuita. Los datos y archivos serían vendidos. Hay que pensar de qué comen las empresas que ofrecen nubes, ¿de los datos, de la publicidad, de las subvenciones? Si quieres aprovechar los sistemas gratuitos quizás deberías encriptar antes los archivos antes de subirlos a ningún sitio.
Dataprius vive de las suscripciones de las cuentas de pago. Cumplir con el RGPD es asegurar la privacidad de los datos de los clientes y que no son vendidos a nadie.
Qué tiempo de permanencia tienen los datos y archivos en las memorias de los servidores de la red del proveedor
Hola Miguel,
El tiempo de permanencia de los archivos es indefinido. Los archivos en Dataprius permanecen por duplicado con redundancia mientas el usuario no los borre y haga un borrado definitivo de la papelera.