COMPUTO EN LA NUBE Y EN LA NIEBLA

Aspectos legales y vigentes de cómputo en la nube-

IBM Cloud

Integrantes:
Arturo Ibarra De Luna
Zulma Lizette Sánchez Guitron
Brian Martin Guerra García
Diego De Jesús Santoyo Chávez

24/Octubre/2019
INDICE
IBM Cloud ................................................................................................................................ 4
2.1. Aspectos legales en los niveles de servicio ............................................................... 5
1. Protección de Datos ...................................................................................................... 5
2. Políticas de Seguridad .................................................................................................. 6
3. Incidentes de Seguridad ............................................................................................... 7
4. Seguridad Física y Control de Entrada..................................................................... 7
5. Acceso, Intervención, Transferencia y Control de Segregación de
Funciones ................................................................................................................................. 8
6. Control de Disponibilidad e Integridad del Servicio ............................................. 9
2.2. Aspectos de confidencialidad ....................................................................................... 11
 Acceso y utilización de Web sites o de otros servicios online........................ 11
 Responder a su solicitud de información, de un pedido o de soporte.......... 11
 Su uso de los servicios de IBM Cloud .................................................................... 11
 Contactar con los empleados de nuestros clientes, clientes potenciales,
asociados y proveedores ................................................................................................... 12
 Información del visitante ............................................................................................ 12
 Marketing ........................................................................................................................ 12
2.3. Protección de la información ........................................................................................ 13
 Mantenga sus datos seguros con el software ...................................................... 13
 Beneficios clave............................................................................................................ 13
 Estar alerta y listo ........................................................................................................ 13
 Estar al día ..................................................................................................................... 13
 Proteja los datos en tránsito o en reposo. ............................................................ 13
 Protección de Datos ....................................................................................................... 14
 Integridad de los datos: .............................................................................................. 14
 Clasificación de datos y monitoreo de actividad de datos: .............................. 15
 Privacidad de datos y regulaciones: ....................................................................... 15
2.4. Formas de contratación en la nube ............................................................................. 16
Licencia de copyright: ........................................................................................................ 17
Sanciones y embargos ....................................................................................................... 18
2.5. Protección jurídica para proveedores de la nube .................................................... 19
Declaración de límite de responsabilidad ..................................................................... 19
 Declaración de limitación de responsabilidad de garantía ....................................... 19
límite de responsabilidad ................................................................................................... 19
Registro................................................................................................................................... 20
Visitas al sitio web y servicios de IBM Cloud ............................................................... 20
CONCLUCION.......................................................................................................................... 22
BIBLIOGRAFIA......................................................................................................................... 23
IBM Cloud

La plataforma en la nube de IBM combina una plataforma como servicio (PaaS) con
la infraestructura como servicio (IaaS) para proporcionar una experiencia integrada.
La plataforma escala y ofrece soporte a organizaciones y equipos de desarrollo
pequeños y también a grandes empresas. Implementada globalmente en centros
de datos de todo el mundo, la solución que crea en IBM Cloud™ se activa
rápidamente y se desempeña de manera fiable en un entorno probado y soportado
en el que pueda confiar.

Tal como se muestra en el siguiente diagrama, la plataforma IBM Cloud consta de

varios componentes que trabajan conjuntamente para proporcionar una experiencia
en la nube coherente y fiable.

 Una consola robusta que sirve como frontal para crear, ver y gestionar los
recursos en la nube
 Un componente de gestión de identidad y acceso que autentica usuarios de
forma segura en los servicios de plataforma y controla el acceso a recursos
de forma coherente en IBM Cloud
 Un catálogo que consta de cientos de ofertas de IBM Cloud
 Un mecanismo de búsqueda y etiquetado para filtrar e identificar los recursos
 Un sistema de gestión de cuentas y facturación que proporciona una
utilización exacta de los planes de precios y protección de fraude con tarjeta
de crédito
 2.1. Aspectos legales en los niveles de servicio

Las medidas técnicas y organizativas provistas en este anexo sobre Seguridad

de los Datos y Privacidad (DSP) se aplican a los Servicios de Cloud de IBM,
incluidas las aplicaciones subyacentes, las plataformas y los componentes de
infraestructura que gestiona y administra IBM en la prestación del Servicio de
Cloud (componentes), salvo si el Cliente es el responsable de la seguridad y
privacidad y si se especifica lo contrario en un Documento Transaccional (DT).
El Cliente es responsable de: a) determinar si el Servicio de Cloud es adecuado
para el uso del Cliente y; b) implementar y gestionar medidas de seguridad y
privacidad para los elementos no proporcionados y gestionados por IBM dentro
del Servicio de Cloud descrito en los Anexos y DT aplicables (tales como
sistemas y aplicaciones creadas o desplegadas por el Cliente sobre una
infraestructura como oferta de Servicio, o control de acceso del usuario final del
Cliente a ofertas de software como servicio). Las medidas que implementa y
mantiene IBM en cada Servicio de Cloud estarán sujetas a certificación anual del
cumplimiento con las normas ISO 27001 o SSAE SOC 2, o ambas.

1. Protección de Datos
a. Las medidas de seguridad y privacidad para cada Servicio de Cloud están
diseñadas de acuerdo con las prácticas de ingeniería segura y privacidad
por diseño de IBM con el fin de proteger la entrada de Contenido en un
Servicio de Cloud y para mantener la disponibilidad de ese Contenido en
conformidad con el Acuerdo, incluidos los Anexos y los DT aplicables. El
Cliente es el único responsable de cualquier dato personal incluido en el
Contenido y designa a IBM como encargado para tratar dichos datos
personales (de acuerdo con la definición de estos términos en Reglamento
(UE) 2016/679, el Reglamento General de Protección de Datos de la UE).
IBM tratará todo el Contenido como confidencial revelándolo solo a
empleados, contratistas y subencargados de IBM y solo en la medida que
sea necesaria para proporcionar el Servicio de Cloud, excepto si se
especifica lo contrario en un DT.
b. IBM saneará de forma segura los soportes físicos para su reutilización
antes de dicha reutilización y destruirá los soportes físicos que se van a
reutilizar, de conformidad con las directrices del Instituto Nacional de
Estándares y Tecnología (en sus siglas en inglés: NIST, National
Institute of Standards and Technology), una agencia del Departamento
de Comercio de los Estados Unidos, para el saneamiento de soportes.
c. Si se solicita, IBM proporcionará evidencia y acreditación del cumplimiento
con lo indicado, como certificados, declaraciones o informes procedentes
de auditorías externas independientes y acreditadas, como normas ISO
27001, SSAE SOC 2 y otras normas del sector, según se especifique en
un DT. Cuando corresponda, las auditorías externas independientes y
acreditadas se efectuarán con la regularidad requerida por la norma a fin
 de mantener la acreditación y la conformidad indicada del Servicio de
Cloud.
d. La información adicional de seguridad y privacidad específica de un
Servicio de Cloud puede estar disponible en el DT correspondiente u otra
documentación estándar para ayudar en la evaluación inicial y continua
del Cliente sobre la idoneidad de un Servicio de Cloud para su uso. Dicha
información puede incluir evidencia de certificaciones y acreditaciones
declaradas, información relacionada con dichas certificaciones y
acreditaciones, fichas de datos, preguntas más frecuentes y otra
documentación generalmente disponible. IBM dirigirá al Cliente a la
documentación estándar disponible si se le solicita que rellene los
cuestionarios o formularios preferidos por el Cliente y el Cliente acepta
que dicha documentación se utilizará en lugar de dicha solicitud. IBM
puede cobrar una tarifa adicional por rellenar los cuestionarios o
formularios preferidos por el Cliente o por proporcionar consultas al
Cliente para tales fines.

2. Políticas de Seguridad
a. IBM mantendrá y seguirá las políticas y prácticas relativas a la
seguridad TI que formen parte del negocio de IBM y sean obligatorias
para todos los empleados de IBM. El CIO de IBM mantendrá la
responsabilidad y la supervisión ejecutiva de dichas políticas,
incluyendo el gobierno formal y la gestión de revisiones, la formación
de los empleados y la aplicación del cumplimiento de normativas.
b. IBM revisará sus políticas de seguridad TI como mínimo una vez al año
y realizará modificaciones de las mismas como IBM estime razonable
para mantener la protección de los Servicios de Cloud y del Contenido
que estos incluyen.
c. IBM mantendrá y seguirá sus requisitos obligatorios de verificación de
empleabilidad en las nuevas contrataciones y ampliará tales requisitos a
todas las filiales propiedad de IBM. De acuerdo con los procedimientos y
procesos internos de IBM, estos requisitos se revisarán periódicamente e
incluirán, sin limitarse a ellas, las comprobaciones de antecedentes
criminales, la validación de la prueba de identidad y las comprobaciones
adicionales que IBM estime oportunas. Cada empresa de IBM es
responsable de implementar estos requisitos de contratación, siempre
que lo permita la legislación aplicable.
d. Los empleados de IBM completarán una formación sobre seguridad y
privacidad anualmente y certificarán cada año que van a cumplir con las
políticas éticas de IBM respecto a la conducta empresarial, la
confidencialidad y la seguridad, como se establece en las Directrices de
Conducta Empresarial de IBM. Se proporcionará una formación
complementaria sobre procesos y políticas a personas con acceso
administrativo a los componentes de Servicio de Cloud que es específica
del papel que desempeñan en la operativa y el soporte de dicho Servicio
 de Cloud de IBM, según sea necesario para mantener la conformidad y las
certificaciones indicadas en el DT correspondiente.

3. Incidentes de Seguridad
a. IBM mantendrá y seguirá las políticas de respuesta a incidentes conforme
a las directrices de NIST para la administración de incidentes de
seguridad informática, además de cumplir con los términos de notificación
de infracción de datos del Acuerdo.
b. IBM investigará el acceso y el uso no autorizados de Contenido del que
IBM tenga conocimiento (incidente de seguridad) y, dentro del alcance del
Servicio de Cloud, IBM definirá y ejecutará un plan de respuesta
adecuado. El Cliente puede notificar a IBM sobre la sospecha de una
vulnerabilidad o incidente enviando una solicitud de soporte técnico.
c. IBM notificará sin demoras indebidas al Cliente cualquier incidente de
seguridad conocido o que IBM sospeche de forma razonable que
puede afectar al Cliente. IBM suministrará al Cliente la información
razonablemente solicitada acerca del incidente de seguridad, así
como el estado de las actividades de remediación y restauración
llevadas a cabo por IBM.

4. Seguridad Física y Control de Entrada

a. IBM efectuará los controles de entrada física adecuados, como barreras,
puntos de entrada controlados con tarjeta, cámaras de vigilancia y
recepcionistas, para impedir la entrada no autorizada a las instalaciones
de IBM que alojan el Servicio de Cloud (centros de datos). Los puntos de
entrada auxiliares a centros de datos, como las áreas de entrega o los
muelles de carga, se controlarán y aislarán con recursos informáticos.
b. El acceso a los centros de datos y a las áreas controladas de los centros
de datos estará limitado según el rol de trabajo y estará sujeto a
aprobación autorizada. Se registrará el uso de los identificadores de
acceso a centros de datos y áreas controladas y estos registros se
conservarán durante un período mínimo de un (1) año. IBM revocará el
acceso de un empleado a las áreas controladas de los centros de datos
en caso de terminarse la relación laboral con dicho empleado. IBM llevará
a cabo los procedimientos formales de terminación de la relación laboral
que incluyen, sin limitarse a ellas, la eliminación de las listas de control
de acceso y la devolución de los identificadores de acceso físicos.
c. Todas las personas con permiso de acceso temporal a las instalaciones
de un centro de datos o a un área controlada de un centro de datos se
registrarán a la entrada de las instalaciones, deben proporcionar una
prueba de identidad durante el registro y deben ir acompañados de
personal autorizado. El acceso temporal, incluidas las entregas, se
programará con antelación y requiere aprobación por parte de personal
autorizado.
 d. IBM tomará precauciones para proteger la infraestructura física del
Servicio de Cloud con el objeto de prevenir amenazas
medioambientales, tanto naturales como artificiales, como temperatura
ambiental excesiva, incendios, inundaciones, humedad, robo y
vandalismo.

5. Acceso, Intervención, Transferencia y Control de Segregación de

Funciones
a. IBM mantendrá la arquitectura de seguridad documentada de las redes
gestionadas por IBM en su operativa del Servicio de Cloud. IBM revisará
por separado esta arquitectura de red, incluidas las medidas diseñadas
para evitar las conexiones de red no autorizadas a sistemas, aplicaciones
y dispositivos de red, para el cumplimiento de las normas de segmentación
segura, aislamiento y defensa en profundidad antes de su implementación.
IBM puede utilizar tecnología de red inalámbrica en su mantenimiento y
soporte del Servicio de Cloud y los componentes asociados. Estas redes
inalámbricas, si existen, se cifrarán, requerirán autenticación segura y no
proporcionarán acceso directo a la redes de los Servicios de Cloud. Las
redes de los Servicios de Cloud no utilizan tecnología de red inalámbrica.
b. IBM mantendrá medidas en un Servicio de Cloud diseñadas para la
separación lógica y para evitar que el Contenido se exponga a personas
no autorizadas o que personas no autorizadas accedan a este Contenido.
IBM mantendrá un aislamiento adecuado de sus entornos productivos y
no productivos y, si el Contenido se transfiere a un entorno no productivo,
por ejemplo para reproducir un error a petición del Cliente, las
protecciones de seguridad y privacidad en el entorno no productivo serán
equivalentes a las del productivo.
c. Siempre que se describa en el DT correspondiente, IBM cifrará el
Contenido que no esté destinado a visionado público o mediante
autenticación cuando se transfiera Contenido a través de redes públicas y
habilitará el uso de un protocolo criptográfico, como HTTPS, SFTP y
FTPS, para la transferencia segura de Contenido por parte del Cliente
a/desde el Servicio de Cloud a través de redes públicas.
d. IBM cifrará el Contenido en reposo cuando así se especifique en el DT.
Si el Servicio de Cloud incluye la gestión de claves criptográficas, IBM
mantendrá los procedimientos documentados para la generación,
emisión, distribución, almacenamiento, rotación, revocación,
recuperación, copia de seguridad, destrucción, acceso y uso de claves
seguras.
e. Si IBM necesita acceso al Contenido, restringirá dicho acceso al nivel
mínimo necesario. Este acceso, incluido el acceso administrativo a los
componentes subyacentes (acceso con privilegios), será individual, se
basará en roles y estará sujeto a aprobación y validación regular por
parte del personal de IBM conforme a los principios de separación de
funciones. IBM mantendrá medidas para identificar y eliminar cuentas
 inactivas y redundantes con acceso privilegiado y revocará
inmediatamente este acceso en el momento de terminarse la relación
laboral con el propietario de la cuenta o cuando lo solicite personal de
IBM autorizado como, por ejemplo, el director del propietario de la
cuenta.
f. De conformidad con las prácticas estándar del sector, y en la medida en
que se admita de forma nativa en cada componente gestionado por IBM
de un Servicio de Cloud, IBM mantendrá medidas técnicas que impongan
tiempo de espera en sesiones inactivas, bloqueo de cuentas tras diversos
intentos fallidos de inicio de sesión, autenticación con contraseña o frase
de contraseña fuerte, así como medidas que requieran la transferencia y
el almacenamiento seguros de estas contraseñas y frases de
contraseñas.
g. IBM supervisará el uso del acceso con privilegios y mantendrá la
información de seguridad y las medidas de gestión de eventos diseñadas
para a) identificar la actividad y el acceso no autorizados; b) facilitar una
respuesta adecuada y oportuna y
c) habilitar las auditorías internas y externas independientes de acuerdo con
la política documentada de IBM.
h. Se conservarán los registros de actividad y acceso con privilegios de
conformidad con el plan global de gestión de registros de IBM. IBM
mantendrá medidas diseñadas para la protección en caso de acceso no
autorizado, modificación y destrucción accidental o deliberada de estos
registros.
i. En la medida en que se admita en la funcionalidad del sistema operativo
o el dispositivo nativo, IBM mantendrá las medidas informáticas para los
sistemas de usuario final que incluyen, aunque no se limitan a ellos, los
cortafuegos de puntos finales, el cifrado de disco completo, la detección
de malware basada en firma y su eliminación, los bloqueos de pantalla
basados en tiempo y las soluciones de gestión de puntos finales que
impongan tanto la configuración de seguridad como los requisitos de
parches.

6. Control de Disponibilidad e Integridad del Servicio

a. IBM: a) realiza evaluaciones de riesgos de seguridad y privacidad de sus
Servicios de Cloud al menos una vez al año; b) lleva a cabo pruebas de
intrusión y evaluaciones de vulnerabilidades, como el escaneo de
seguridad automatizado de aplicaciones y sistemas y los pirateos éticos
manuales, antes del lanzamiento en producción y anualmente a partir del
mismo; c) presenta un tercero independiente y cualificado para la
realización de pruebas de intrusión al menos una vez al año; d) efectúa
tareas de gestión automatizada y verificación rutinaria del cumplimiento de
los componentes subyacentes con los requisitos de la configuración de
seguridad; y e) remedia las vulnerabilidades identificadas o el
 incumplimiento de los requisitos de la configuración de seguridad según el
riesgo asociado, la posibilidad de explotación y el impacto. IBM llevará a
cabo los pasos razonables para evitar la interrupción del Servicio de Cloud
durante la realización de las pruebas, evaluaciones y escaneos, así como
durante la ejecución de las actividades de remediación.
b. IBM mantendrá políticas y procedimientos diseñados para gestionar los
riesgos asociados con los cambios realizados en los Servicios de Cloud.
Con anterioridad a su implementación, las modificaciones hechas a un
Servicio de Cloud, incluidos los sistemas, las redes y los componentes
subyacentes, se documentarán en una solicitud de cambio registrada que
incluya la descripción y el motivo del cambio, los detalles y la planificación
de la implementación, una especificación de los riesgos para la gestión
del impacto en el Servicio de Cloud y sus clientes, el resultado esperado,
el plan de reversión y la aprobación documentada del personal autorizado.
c. IBM mantendrá un inventario de todos los activos de tecnología de la
información utilizados en la operativa del Servicio de Cloud. IBM
supervisará y gestionará continuamente el estado, incluida la capacidad,
y la disponibilidad del Servicio de Cloud y sus componentes subyacentes.
d. Cada Servicio de Cloud se evaluará por separado para el cumplimiento
de los requisitos de recuperación tras desastre y continuidad del negocio
de conformidad con las directrices documentadas de gestión de riesgos.
Cada Servicio de Cloud de IBM dispondrá, en la medida en que se
especifique en la evaluación de riesgos, de planes de recuperación tras
desastre y continuidad del negocio validados anualmente, mantenidos,
documentados y definidos por separado conforme a las prácticas
estándares del sector. Los objetivos de tiempo y punto de recuperación
para el Servicio de Cloud, si se proporcionan, se establecerán tomando
en consideración la arquitectura y el uso previsto del Servicio de Cloud y
se describirán en el DT correspondiente. Los soportes físicos destinados
al almacenamiento externo, si los hubiera, como los que contienen
archivos de copia de seguridad de Servicios de Cloud, se cifrarán antes
del transporte.

IBM mantendrá medidas diseñadas para evaluar, probar y aplicar parches de

advertencia de seguridad al Servicio de Cloud y sus sistemas, redes, aplicaciones
y componentes subyacentes asociados en el alcance del Servicio de Cloud. Tras
determinar que un parche de advertencia de seguridad es aplicable y adecuado,
IBM implementará dicho parche conforme con las directrices documentadas de
evaluación del riesgo y la severidad. La implementación de parches de advertencia
de seguridad estará sujeta a la política de gestión de cambios de IBM.
 2.2. Aspectos de confidencialidad

Podemos recolectar su información personal como individuo por diferentes

propósitos, entre ellos los siguientes:

 Acceso y utilización de Web sites o de otros servicios online

Cuando entre en uno de nuestros Web sites o utilice un servicio online,
recolectaremos la información necesaria para brindarle acceso, para el
funcionamiento del Web site y para cumplir con los requisitos legales y de seguridad
que son necesarios para el funcionamiento de nuestro sitio, como las contraseñas,
las direcciones IP y los ajustes del navegador. Durante su visita también
recolectamos información acerca de sus actividades para personalizar su
experiencia en el Web site, como, por ejemplo, registrar sus preferencias y ajustes,
y recolectar estadísticas, para que nos ayuden a mejorar y a seguir desarrollando
nuestros Web sites, productos y servicios.

 Responder a su solicitud de información, de un pedido o de soporte

Cuando usted contacta con nosotros (online u offline) en relación con una solicitud
de información, para pedir un producto o servicio, para recibir soporte o para
participar en un foro o en otras herramientas de computación social, recopilamos la
información necesaria para cumplir su solicitud, para otorgarle acceso al producto o
servicio, para brindarle soporte o para ser capaces de entrar en contacto con usted.
Por ejemplo, recolectamos su nombre y su información de contacto, detalles acerca
de su solicitud y de su acuerdo con nosotros, del cumplimiento, entrega y facturación
de su pedido, y podemos incluir una información de la encuesta de satisfacción del
cliente. Retenemos dicha información con fines administrativos, para defender
nuestros derechos y como conexión con nuestra relación con usted.

Cuando brinda su nombre e información de contacto para registrarse en relación

con dicha solicitud, el registro puede servir para identificarlo cuando visite nuestros
Web sites. Para pedir la mayoría de los servicios y productos requerimos tener
registrado un IBMid. El registro también puede permitirle personalizar y controlar
sus ajustes de privacidad.

 Su uso de los servicios de IBM Cloud

Recopilamos información acerca de cómo utiliza los servicios de IBM Cloud para
permitir el funcionamiento de características de los productos, para mejorar su
experiencia del usuario, para personalizar nuestras interacciones con usted, para
informar a nuestros clientes sobre el uso general de los servicios, para brindar
soporte y para mejorar y desarrollar nuestros productos y servicios. Para obtener
detalles acerca de las tecnologías que empleamos, de la información personal que
recolectamos, de cómo borrar las cookies y sobre cómo controlar o bloquear el
seguimiento.
  Contactar con los empleados de nuestros clientes, clientes
potenciales, asociados y proveedores
En nuestras relaciones con clientes o clientes potenciales, asociados y proveedores
es posible que nos brinden información de contactos de negocios (como el nombre,
detalles del contacto de negocios, la posición o el puesto de sus empleados,
contratistas, asesores y usuarios autorizados) para fines como la gestión y el
cumplimiento de contratos, la entrega de productos y servicios, el suministro de
soporte, la facturación y la gestión de servicios y la relación.

 Información del visitante

Registramos información (nombre, identificación, e información de contacto de
negocios) de los individuos que visitan nuestros sitios y ubicaciones, y utilizamos la
supervisión de las cámaras por razones de seguridad de las personas y sus
pertenencias, y también por razones normativas.

 Marketing
La mayoría de la información que recolectamos sobre usted proviene de nuestras
interacciones directas con usted. Cuando usted se registra para un evento,
podemos recolectar información (online u offline) relacionada con la organización
del evento y durante el evento, como su participación en sesiones y en resultados
de encuestas. Combinamos la información personal que recolectamos para
desarrollar análisis agregados y para utilizar la inteligencia de negocios para llevar
a cabo nuestro negocio y con fines de marketing. Usted puede elegir entre recibir
información acerca de nuestros productos y servicios por e-mail, teléfono o correo
postal, y también puede registrarse en las suscripciones. Cuando usted visite
nuestros Web sites o cuando utilice nuestros servicios podremos brindarle
información personalizada. Usted siempre puede darse de baja de las
comunicaciones personalizadas enviando un e-mail a NETSUPP@us.ibm.com.

Cuando comunicamos que utilizamos su información personal en conexión con una

solicitud, pedido, transacción o acuerdo (o para preparar la misma), o para brindarle
los servicios que usted solicitó (como crear un web site), lo hacemos porque es
necesario para la ejecución del acuerdo con usted.
 2.3. Protección de la información

 Mantenga sus datos seguros con el software

En el ámbito de la seguridad en la nube, bloquear el entorno de un centro de datos
y el hardware de su servidor físico es solo la mitad de la batalla: también debe
proteger su infraestructura del lado del software. Para luchar contra la buena lucha,
IBM ofrece una gama completa de sistemas de protección contra intrusiones (IPS)
y software de sistemas de detección y prevención de intrusiones (IDPS) para el nivel
de red y de servidor / host.

 Beneficios clave
Seguridad además de seguridad
Seguridad además de seguridad
Asegure sus servidores y aplicaciones con software de seguridad exclusivo en todo
su entorno.

 Estar alerta y listo

Monitoree y responda a las amenazas de seguridad con capacidades de escaneo y
registro en profundidad.

 Estar al día
Manténgase actualizado con parches y actualizaciones de seguridad para sistemas
operativos y software compatibles.
 Proteja los datos en tránsito o en reposo.
Los datos son un recurso crucial de cualquier organización, y si se pierden, se ven
comprometidos o son robados, los efectos en el negocio pueden ser
devastadores. Debe tener sistemas para proteger los datos, ya sea en reposo o en
tránsito, del acceso no autorizado.
Los datos en reposo se almacenan físicamente, por ejemplo, en una base de datos,
almacén de datos, cintas, copias de seguridad fuera del sitio o en dispositivos
móviles. Las organizaciones pueden usar el cifrado para combatir las amenazas a
sus datos en reposo. El cifrado de datos protege la información de la divulgación,
incluso si esa información se pierde o es robada.
Los datos que se mueven de un lugar a otro, por ejemplo, cuando se transmiten a
través de Internet, se denominan datos en tránsito o datos en movimiento. Los
métodos de cifrado como HTTPS, SSL y TLS a menudo se usan para proteger los
datos en movimiento.
Este artículo le muestra un enfoque orientado a la solución para proteger sus datos,
ya sea que estén en reposo o en tránsito. Este enfoque cubre cómo cifrar datos en
reposo (archivos, objetos, almacenamiento) y en movimiento, así como soluciones
para monitorear la actividad de datos para verificar y auditar los datos que se
externalizan a la nube.
Los componentes clave de seguridad de datos que debe tener en cuenta en su
solución en la nube incluyen:
 Protección de Datos:
Una solución de protección de datos para su entorno de nube debería ofrecer cifrado
de datos, control de acceso a datos, gestión de claves y gestión de certificación.
Para crear una protección de datos segura, debe tener en cuenta las siguientes
opciones disponibles para clientes y usuarios: *
*Cifrado de datos en reposo en IBM Cloud
*Servicios de encriptación de almacenamiento de archivos y bloques usando IBM
*Multi-Cloud Data Encryption
*IBM Key Protect
*Security Key Lifecycle Manager (SKLM)
*Cifrado del almacén de objetos utilizando IBM Cloud Object Storage
*Cifrado de servicios de datos en la nube
*Gestión de certificados
Para cada una de estas opciones, debe definir procesos, controles y políticas sobre
cómo implementarlos.
 Integridad de los datos:
Primero, veamos las capacidades de IBM Cloud para cifrar datos en reposo. Los
clientes deben poder cifrar sus datos almacenados en IBM Cloud y administrar sus
propias claves en todos los servicios de datos y almacenamiento admitidos.
Las soluciones de IBM Cloud ofrecen capacidades de administración clave y soporte
para archivos, bloques, almacenes de objetos y cifrado a nivel de base de
datos. Parte de la administración de claves incluye soporte para módulos de
seguridad de hardware (HSM) para una mayor seguridad.
Esta figura muestra las capacidades de cifrado de IBM Cloud para datos en reposo.

Al crear una solución en la nube con estricta seguridad de datos, debe considerar
lo siguiente:
*El tipo de datos que utiliza un cliente determina sus necesidades de cifrado
*Diferentes tipos de almacenamiento de datos, incluidos archivos, objetos, bases de
datos, servicios de datos y bloques.
*Gestión de claves, especialmente claves gestionadas por el cliente y almacenes
de claves de hardware
Para abordar una amplia gama de aplicaciones y requisitos empresariales, IBM
Cloud ofrece múltiples opciones para cifrar datos en reposo. Proporciona cifrado
para el almacenamiento de bloques y archivos, cifrado a nivel de objeto, servicios
de datos de cifrado y gestión de claves.
 Clasificación de datos y monitoreo de actividad de datos:
En IBM Cloud, el Servicio de gestión de claves es proporcionado por un componente
llamado IBM Key Protect que realiza la gestión del ciclo de vida de las claves de
cifrado que se utilizan en los servicios de IBM Cloud o aplicaciones creadas por el
cliente. Key Protect proporciona una raíz de confianza (RoT), protegida por módulos
de seguridad de hardware (HSM) basados en la nube con certificación FIPS 140-2
Nivel 2 que protegen contra el robo de información.
IBM Key Protect permite a los clientes cifrar datos confidenciales en reposo y crear
y gestionar fácilmente todo el ciclo de vida de las claves criptográficas que se utilizan
para cifrar datos. Key Protect REST API impulsa la creación y gestión de claves. El
servicio proporciona encriptado multicliente. Cifrar datos permite a los clientes
almacenar sus datos en la nube y protegerlos contra robos y compromisos. Dado
que las claves permanecen en posesión del cliente, los datos están protegidos de
los proveedores de servicios en la nube, así como de otros usuarios. Puede integrar
el servicio Key Protect con soluciones de almacenamiento, como Object Storage y
Data Services, para cifrar sus datos en reposo en la nube.
 Privacidad de datos y regulaciones:
La privacidad de los datos controla cómo se recopila, utiliza, comparte y elimina la
información (en particular, sobre las personas), de acuerdo con las políticas o las
leyes y reglamentos externos.
En la Unión Europea y otras jurisdicciones, la privacidad de los datos también se
conoce como protección de datos. Este artículo usa el término privacidad.
Se implementan medidas de seguridad y privacidad técnicas y organizativas para
cada servicio en la nube de conformidad con la política de IBM. Estas medidas se
implementan de acuerdo con la arquitectura del servicio en la nube, el uso previsto
y el tipo de servicio proporcionado. La siguiente imagen muestra la división general
de responsabilidad dentro de cada tipo de servicio.

Con los servicios en la nube de IBM, los clientes de la infraestructura de la nube de

IBM son responsables de las aplicaciones, el contenido, los tiempos de ejecución,
el middleware y los sistemas operativos que implementan en la solución IaaS. Esto
incluye la implementación y administración de medidas de seguridad y privacidad
de datos que no son físicas.
Los clientes de IBM Cloud administran las aplicaciones y el contenido que
implementan en IBM Cloud, incluida la implementación y administración de medidas
de seguridad y privacidad de datos para sus aplicaciones y datos.

2.4. Formas de contratación en la nube

 Normativa mexicana aplicable en la adquisición, uso o subarrendamiento de

servicios de cómputo en la nube

Esta información se ha desarrollado para productos y servicios que se ofrecen en

los Estados Unidos. Puede que IBM tenga disponible este material en otros idiomas.
Sin embargo, deberá poseer una copia del producto o de la versión del producto en
ese idioma para poder acceder a él.

Es posible que IBM no ofrezca en otros países los productos, servicios o

características descritos en este documento. Consulte a su representante local de
IBM la información sobre los productos y servicios disponibles actualmente en su
área. Cualquier referencia a un producto, programa o servicio de IBM no pretende
afirmar ni implicar que sólo puede utilizarse ese producto, programa o servicio de
IBM. En su lugar, puede utilizarse cualquier producto, programa o servicio
funcionalmente equivalente que no vulnere ninguno de los derechos de propiedad
intelectual de IBM. Sin embargo, la evaluación y la verificación del funcionamiento
de cualquier producto, programa o servicio no IBM son responsabilidad del usuario.

IBM puede tener patentes o aplicaciones pendientes de patente que conciernan al

tema descrito en este documento. La posesión de este documento no otorga
ninguna licencia sobre dichas patentes. Puede enviar consultas sobre licencias, por
escrito, a:

IBM Director of Licensing IBM Corporation North Castle Drive, MD-NC119 Armonk,
NY 10504-1785 EE.UU.

Para realizar consultas sobre licencias relacionadas con la información del juego de
caracteres de doble byte (DBCS), póngase en contacto con el departamento de
propiedad intelectual de IBM en su país o envíe las consultas, por escrito, a:

Intellectual Property Licensing Legal and Intellectual Property Law IBM Japan
Ltd. 19-21, Nihonbashi-Hakozakicho, Chuo-ku Tokio 103-8510, Japón

INTERNATIONAL BUSINESS MACHINES CORPORATION PROPORCIONA

ESTA PUBLICACIÓN "TAL CUAL" SIN GARANTÍAS DE NINGUNA CLASE, NI
EXPLÍCITAS NI IMPLÍCITAS, QUE INCLUYEN, PERO NO SE LIMITAN A, LAS
GARANTÍAS IMPLÍCITAS DE NO VULNERACIÓN, MERCANTIBILIDAD O
ADECUACIÓN A UN FIN DETERMINADO. Algunas jurisdicciones no permiten la
renuncia a las garantías explícitas o implícitas en determinadas transacciones; por
lo tanto, es posible que esta declaración no sea aplicable en su caso.

Esta información puede contener incorrecciones técnicas o errores tipográficos.

Periódicamente se efectúan cambios en la información aquí contenida; estos
cambios se incorporarán en nuevas ediciones de la publicación. IBM se reserva el
derecho a realizar, si lo considera oportuno, mejoras y/o modificaciones en el
producto (o productos) y/o programa (o programas) descritos en esta publicación.

Cualquier referencia en este documento a sitios web que no son de IBM se

proporciona únicamente para su comodidad y no significa en modo alguno que se
recomiende dichos sitios web. Los materiales de estos sitios web no forman parte
de los materiales para este producto IBM por lo que la utilización de dichos sitios
web es a cuenta y riesgo del usuario.

IBM podría utilizar o distribuir la información que se le proporciona de la forma que

considere más adecuada sin incurrir por ello en ninguna obligación con el remitente
de la información.

Los titulares de licencias de este programa que deseen obtener información sobre
el mismo con el fin de permitir: (i) el intercambio de información entre programas
creados independientemente y otros programas (incluido éste) y (ii) la utilización
mutua de la información intercambiada, deben ponerse en contacto con:

IBM Director of Licensing IBM Corporation North Castle Drive, MD-NC119 Armonk,
NY 10504-1785 EE.UU.

Dicha información puede estar disponible, sujeta a los términos y condiciones

apropiados, incluido en algunos casos el pago de una tarifa.

El programa con licencia descrito en este documento y todo el material con licencia
disponible para el mismo son suministrados por IBM bajo los términos del Acuerdo
de cliente de IBM, el Acuerdo Internacional de Programas bajo Licencia u otro
acuerdo equivalente entre las partes.

Los datos de rendimiento y los ejemplos de clientes citados se presentan con

finalidades solo informativas. Los resultados reales de rendimiento pueden variar en
función de configuraciones específicas y condiciones de funcionamiento.

Licencia de copyright:

Esta información contiene programas de aplicación de ejemplo en lenguaje fuente,

que ilustran técnicas de programación en diversas plataformas operativas. Se
autoriza la copia, modificación y distribución de los programas de ejemplo de
cualquier forma, sin tener que pagar a IBM, con el fin de desarrollar, utilizar,
comercializar o distribuir programas de aplicación que estén en conformidad con la
interfaz de programación de aplicaciones para la plataforma operativa para la que
se han escrito los programas de ejemplo. Estos ejemplos no se han probado de
forma exhaustiva en todas las condiciones. Por lo tanto, IBM no puede garantizar ni
dar por implícita la fiabilidad, la capacidad de servicio o el funcionamiento de estos
programas. Los programas de ejemplo se proporcionan "TAL CUAL" sin garantías
de ningún tipo. IBM no se responsabiliza de los daños que pudieran derivarse del
uso de los programas de ejemplo.

Cada copia o parte de estos programas de ejemplo o cualquier trabajo derivado

debe incluir una nota de copyright como la siguiente:

© (nombre de su empresa) (año). Partes de este código proceden de programas de

ejemplo de IBM Corp. © Copyright IBM Corp. 2015.

Sanciones y embargos

Los Estados Unidos prohíben la mayoría de las transacciones comerciales y otras

relaciones con varios países por motivos de política exterior y seguridad nacional.
Estas prohibiciones, conocidas formalmente como sanciones comerciales y
económicas o embargos totales, actualmente afectan a Irán, Cuba, Corea del norte
y Siria.

IBM Cloud implementa un bloqueo en toda la red de las comunicaciones con

direcciones IP que se originan desde países sujetos a dichas sanciones comerciales
y económicas. Esta política afecta a todas las ubicaciones de los centros de datos
de IBM Cloud y entornos, y bloquea el acceso por direcciones IP registradas en
países sujetos a las sanciones comerciales y económicas de EE.UU.

Para identificar las direcciones IP asociadas con los países bajo embargo por parte
de EE.UU., IBM Cloud utiliza la base de datos Geo IP2 mantenida por MaxMind,
IBM Cloud actualiza la correlación de países con direcciones IP semestralmente.

Nota: Esta restricción no se aplica a contenido que no esté prohibido bajo las
sanciones y embargos de EE.UU. Envíe un mensaje de correo electrónico a
IBM_Cloud_Embargo_Exemption_Request@wwpdl.vnet.ibm.com si cree que su
contenido no está prohibido bajo las sanciones comerciales y económicas de
EE.UU.
 2.5. Protección jurídica para proveedores de la nube

Declaración de límite de responsabilidad

De vez en cuando, este sitio Web puede contener imprecisiones técnicas o errores
tipográficos, y no garantizamos la exactitud de la información publicada. Por favor
confirme si está usando las páginas más actualizadas en este sitio Web, así como
la precisión e integridad de la información antes de utilizarla para la toma de
decisiones relacionadas con los servicios, productos u otros temas descritos en este
sitio.
En el caso de que alguna autoridad judicial competente determine que algún término
de estos Términos de Uso no se pueda hacer cumplir en algún caso, la vigencia del
resto de estos Términos de Uso no se verá afectada, siempre y cuando tal
incumplimiento no afecte materialmente los derechos de las partes en virtud de los
presentes Términos de Uso.

Declaración de limitación de responsabilidad de garantía

el uso de este sitio es bajo su propio riesgo. todos los materiales, información,
productos, software, programas y servicios serán brindados "tal como están," sin
garantías de ningún tipo. ibm expresamente se libera de responsabilidad en la
máxima extensión permitida por la ley en relación a todas las garantías expresas,
implícitas, legales y otras garantías o declaraciones, incluyendo, sin limitación, a las
garantías de comercio, idoneidad para un propósito particular y no violación de
derechos de propiedad y de propiedad intelectual. sin restricciones, ibm no garantiza
ni asegura que este sitio web permanecerá ininterrumpido, de manera puntual,
seguro o libre de errores.
usted entiende y acepta que, si descarga u obtiene de otra manera materiales,
información, productos, software, programas o servicios de este sitio web, lo hace
por su propia cuenta y riesgo y que será el único responsable por cualquier daño
que pueda resultar, incluyendo pérdida de información o daño a su sistema
informático. algunas jurisdicciones no permiten la exclusión de garantías, por lo que
las exclusiones citadas anteriormente puede que no le sean aplicables.
límite de responsabilidad
en la medida máxima permitida por la ley aplicable, en ningún caso ibm será
responsable ante ninguna parte por daños directos, indirectos, incidentales,
especiales, compensación punitiva o consecutivos de ningún tipo relacionados a o
provenientes de este sitio o por cualquier uso de este sitio, o de cualquier sitio o
recurso vinculado a, referido, o accedido a través de este sitio, o por la utilización o
descarga de, o acceso a, cualquier material, información, productos o servicios,
incluyendo, sin restricciones, cualquier beneficio perdido, interrupción comercial,
ahorros perdidos o pérdida de programas u otros datos, aun cuando ibm sea
expresamente advertido de la posibilidad de tales daños. esta exclusión y renuncia
de responsabilidad se aplica a todas las causas de acción, ya se basen en contrato,
garantía, agravio, o cualquier otra figura legal.
 2.6. Protección jurídica para usuarios de la nube

 Protocolo de borrado de datos en caso de extinción del contrato

IBM retendrá su información personal durante el tiempo que sea necesario para
cumplir con los fines para los que se procesa la información o por otras razones
válidas para retener su información personal (por ejemplo, para cumplir con
nuestras obligaciones legales, resolver disputas o hacer cumplir nuestros acuerdos)
.
Su información de registro se conservará mientras su cuenta o IBMid estén activos
o según sea necesario para proporcionarle servicios. Si desea solicitar que ya no
usemos su información de registro para brindarle servicios, contáctenos
a NETSUPP@us.ibm.com . En relación con los servicios de IBM Cloud que está
autorizado a utilizar por el cliente de IBM que contrata ese servicio con IBM, su
información de registro puede conservarse para cumplir con ciertos requisitos de
ese cliente de IBM.

 Responsabilidad del cliente para garantizar la seguridad de los datos

Registro
Cuando desee recibir información, descargar publicaciones, inscribirse en un evento
en vivo o virtual o solicitar una prueba, podemos solicitarle que proporcione su
nombre e información de contacto comercial, así como otra información relacionada
con su solicitud. Utilizamos esta información en relación con su solicitud y para
comunicarnos con usted. Esta información puede, en la mayoría de los casos,
también identificarlo cuando visita nuestros sitios web. Retendremos su información
para posibles interacciones futuras con usted.
También podemos pedirle que registre un IBMid, en cuyo caso debe
proporcionarnos su nombre, dirección de correo electrónico, ubicación del país y
otra información si es necesario para el propósito para el que se le solicita que se
registre. IBMid sirve para identificarlo de forma exclusiva cuando visita nuestros
sitios web, tiene una solicitud o pedido o utiliza un producto o servicio. Para ordenar
la mayoría de los servicios y productos, requerimos que haya registrado un IBMid. El
registro en IBMid puede permitirle personalizar y controlar su configuración de
privacidad. Ciertos productos y servicios de IBM pueden requerir un registro único
específicamente con el fin de proporcionar estos productos o servicios. En tales
casos, los detalles de registro proporcionados por usted para un producto o servicio
solo se utilizarán con el propósito específico de proporcionarle ese producto o
servicio.
Visitas al sitio web y servicios de IBM Cloud
También podemos recopilar información relacionada con su uso de nuestros sitios
web y servicios de IBM Cloud a través del uso de diversas tecnologías. Por ejemplo,
cuando visita nuestros sitios web o accede a nuestros servicios de IBM Cloud,
podemos registrar cierta información que su navegador nos envía, como su
dirección IP (incluida la información derivada de su dirección IP, como su ubicación
geográfica), tipo de navegador, versión e idioma, tiempo de acceso, duración del
acceso y direcciones de sitios web de referencia; También podemos recopilar
información sobre las páginas que visita en nuestros sitios, el tiempo que pasó en
cada sitio y otras acciones que realiza mientras visita nuestro sitio web. Cuando
accede a nuestro sitio web sin un IBMid o sin iniciar sesión, aún recopilaremos parte
de esta información personal para permitir que los sitios web funcionen
correctamente.

Además, algunos de nuestros productos de software y servicios de IBM Cloud

incluyen tecnologías que le permiten a IBM recopilar cierta información sobre el uso
de nuestros productos y servicios. También podemos usar dichas tecnologías para
determinar si ha abierto un correo electrónico o ha hecho clic en un enlace contenido
en un correo electrónico. Para obtener detalles sobre las tecnologías que
empleamos.

 Portabilidad de Datos a otro proveedor de servicios de Nube

IBM proporciona herramientas de computación social en algunos de sus sitios web

para permitir el intercambio y la colaboración en línea entre los miembros que se
han registrado para usarlos. Estos incluyen foros, wikis, blogs y otras plataformas
de redes sociales.
Cuando descargue y use estas aplicaciones o se registre para usar estas
herramientas de computación social, es posible que se le solicite que brinde cierta
información personal. La información de registro estará sujeta y protegida de
acuerdo con esta Declaración de privacidad, a excepción de la información que se
pone automáticamente a disposición de otros participantes como parte de su
perfil. Estas aplicaciones y herramientas también pueden incluir declaraciones de
privacidad suplementarias con información específica sobre prácticas de
recolección y manejo. Lea esas declaraciones suplementarias para comprender lo
que pueden hacer las herramientas y las aplicaciones.
Cualquier otro contenido que publique, como imágenes, información, opiniones o
cualquier otro tipo de información personal que ponga a disposición de otros
participantes en estas plataformas o aplicaciones sociales, no está sujeto a esta
Declaración de privacidad. Por el contrario, dicho contenido está sujeto a los
Términos de uso de esas aplicaciones o plataformas, y cualquier pauta adicional e
información de privacidad proporcionada en relación con su uso, así como el
proceso mediante el cual puede eliminar su contenido de dichas herramientas u
obtener ayuda para hazlo Remítase a ellos para comprender mejor los derechos y
obligaciones de usted, IBM y otras partes con respecto a dicho contenido. Debe
tener en cuenta que el contenido que publica en cualquiera de estas plataformas de
computación social puede estar ampliamente disponible para otros dentro y fuera
de IBM.
CONCLUCION
El proveedor llamado IBM ofrece servicios de soporte, además que está
incursionando en un servicio como lo es computo en la nube llamado IBM Cloud el
cual esta teniendo un impacto muy satisfactorio en el mercado además que es una
empresa que te da opciones gratuitas para que verifiques su efectividad adquirida
con el tiempo
La computación en la nube son servidores desde Internet encargados de atender
las peticiones en cualquier momento. Se puede tener acceso a su información o
servicio, mediante una conexión a internet desde cualquier dispositivo móvil o fijo
ubicado en cualquier lugar.
Sirven a sus usuarios desde varios proveedores de alojamiento repartidos
frecuentemente por todo el mundo, erradicando un poco a los data center físicos.
Esta medida reduce los costos, garantiza un mejor tiempo de actividad y que los
sitios web sean invulnerables a los delincuentes informáticos, a los gobiernos
locales y a sus redadas policiales pertenecientes
 BIBLIOGRAFIA

IBM Corporation. (Mayo 2018). Declaración de privacidad en línea de IBM. 24 de

Octubre del 2019, de IBM Sitio web:
https://www.ibm.com/privacy/details/us/en/#section_3

IBM Corporation. (Mayo 2018). Documentación. 24 de Octubre del 2019, de

IBM Sitio web: https://cloud.ibm.com/docs