Unidad 1.4: Soberanía y cumplimiento como entradas de diseño
Introducción
Para una empresa regulada, el cumplimiento normativo no es una lista de verificación que se aplica después de dibujar la arquitectura; es el primer filtro que reduce qué arquitecturas son incluso permitidas. Las dos ideas que realizan ese filtrado son la soberanía digital y los reconocimientos específicos que tiene un servicio, y ambas se describen rutinariamente de manera demasiado vaga. La soberanía digital se confunde con el lugar donde se encuentra los datos, y las acreditaciones se describen como si cubrieran toda la plataforma. Ambos errores son peligrosos en una auditoría. Esta unidad fija los significados precisos y luego muestra cómo operan como un filtro de colocación para FinCorp, la empresa de servicios financieros alemana cuya cada decisión de Workload debe sobrevivir a una revisión de GDPR y BSI.
1. La soberanía es la jurisdicción del operador, no solo la región
La soberanía legal de la Unión Europea es el principio de que los datos están sujetos solo a las leyes y protecciones legales de los estados miembros de la UE. En un contexto de computación en la nube que requiere que el proveedor de infraestructura, los centros de datos y los contratos de gobierno estén todos basados en la UE, para que las entidades extranjeras no puedan obligar el acceso. La palabra decisiva es proveedor, no región.
El contraste que hace que esto sea concreto es la Ley de Clarificación de la Ley sobre el Uso de Datos en el Extranjero (CLOUD) de EE. UU., la ley federal que permite a las fuerzas del orden de EE. UU. obligar a las empresas de tecnología con sede en EE. UU. a producir los datos solicitados, ya sea por orden judicial o citación, independientemente de que los datos estén almacenados en EE. UU. o en el extranjero. La consecuencia es precisa y a menudo se pasa por alto: un proveedor operado por EE. UU. que ejecuta una región de la UE sigue siendo una empresa de EE. UU., y por lo tanto sus datos alojados en la UE siguen siendo accesibles bajo la Ley CLOUD. Elegir una región de Frankfurt de un operador de EE. UU. no compra soberanía; compra residencia mientras mantiene intacta la exposición jurisdiccional. IONOS es operado por la UE, lo que le permite ofrecer soberanía en lugar de solo residencia.
Para FinCorp, esta es la decisión umbral. La residencia sola (datos físicamente en Alemania) satisfaría una lectura ingenua de la localidad de GDPR, pero la postura de riesgo de la empresa requiere que ninguna jurisdicción extranjera pueda obligar la divulgación. Este requisito solo puede ser cumplido por un proveedor operado por la UE, por lo que la distinción entre la jurisdicción del operador y no el pin de la región es el verdadero control de soberanía y se establece antes de que se elija cualquier servicio.
2. Las dos reconocimientos BSI, definidos con precisión
IONOS posee dos reconocimientos BSI distintos, y el hábito más importante en esta unidad es nunca confundirlos con "IONOS está certificado por BSI". Difieren en tipo de credencial, en fecha y, críticamente, en qué servicios cubre cada uno. Siempre debe vincular una afirmación al servicio, la ubicación del centro de datos, la credencial, su tipo (atestación versus certificación) y su fecha.
- BSI C5 es una atestación (un Type 1 Testat, auditado a ISAE 3000), otorgada el 7 de noviembre de 2023, para centros de datos alemanes. Su alcance cubre exactamente Compute Engine, Cloud Cubes, y S3 Object Storage. No es una certificación y no es de Tipo 2, y no cubre Backup o Managed Kubernetes.
- IT-Grundschutz es un ISO 27001 certificado basado en IT-Grundschutz, otorgado el 14 de septiembre de 2022 por el BSI, para centros de datos alemanes. Su alcance cubre exactamente Compute Engine, S3 Object Storage, Backup, y Managed Kubernetes.
Los alcances difieren intencionalmente por servicio. Cloud Cubes está en el alcance de C5 pero no en el alcance de IT-Grundschutz; Backup y Managed Kubernetes están en el alcance de IT-Grundschutz pero no en el alcance de C5. Solo Compute Engine y S3 Object Storage se encuentran en ambos. No hay evidencia de una atestación de Tipo 2 de C5 o un reconocimiento TISAX, por lo que ninguno de los dos puede ser reclamado. IONOS es el primer proveedor de computación en la nube alemán en poseer tanto la atestación de C5 como la certificación de IT-Grundschutz, lo que es una afirmación combinada verdadera y sólida, pero es una afirmación sobre dos credenciales con alcances específicos, no sobre la plataforma en su conjunto.
Una segunda capa de precisión separa las credenciales de nivel de centro de datos de las credenciales de nivel de servicio. Las certificaciones de centro de datos (ISO 27001, PCI-DSS, clasificaciones Uptime Tier) son poseídas por los operadores de cada sitio físico y varían según la ubicación. Berlín (operado por IONOS) y Karlsruhe (operado por TelemaxX, no por IONOS) poseen IT-Grundschutz a nivel de centro de datos; los sitios de Frankfurt operados por terceros no poseen IT-Grundschutz a nivel de centro de datos, incluso cuando poseen ISO 27001 directamente. La conclusión es que una lista de "certificado" a nivel de producto es marketing, no un alcance contractual: los hechos vinculantes son qué servicio, en qué ubicación, posee qué credencial.
La siguiente tabla es el alcance que usted puede afirmar; no lo amplíe.
| Reconocimiento | Tipo | Fecha otorgada | Servicios en alcance |
|---|---|---|---|
| BSI C5 | Atestación (Type 1 Testat, ISAE 3000) | 7 de noviembre de 2023 | Compute Engine, Cloud Cubes, S3 Object Storage |
| IT-Grundschutz | ISO 27001 certificado basado en IT-Grundschutz | 14 de septiembre de 2022 | Compute Engine, S3 Object Storage, Backup, Managed Kubernetes |
La residencia es el tercer diseño de entrada y el que se aplica antes. Es una decisión de colocación que se toma antes de que cualquier Workload aterrice: usted elige la región (y por lo tanto el centro de datos) primero, y esa elección restringe todo lo que sigue, porque las imágenes y las direcciones IP reservadas están bloqueadas por región y porque el alcance de la atestación solo ayuda si el Workload aterriza en un servicio y en una ubicación dentro del alcance. La cumplimiento normativo, por lo tanto, reduce las opciones como un filtro sobre cada decisión posterior en lugar de ser verificado al final. Para FinCorp, el Workload regulado debe aterrizar en servicios que sean operados por la Unión Europea y que estén dentro del alcance relevante de la atestación, en una ubicación alemana, lo que explica por qué la colocación se establece en el Módulo 1 y se trata como casi irreversible.
Resumen de la decisión
Aplicar el cumplimiento como un filtro ordenado antes de seleccionar servicios, no como una auditoría final.
| Filtro | La pregunta a responder | El control preciso |
|---|---|---|
| Soberanía | ¿Puede cualquier jurisdicción extranjera exigir la divulgación? | Requerir un proveedor operado en la UE; una región de la UE de un operador estadounidense todavía conlleva exposición a la Ley CLOUD. |
| Residencia | ¿Dónde se ubicarán físicamente los datos? | Fijar la región y el centro de datos primero; las imágenes y las direcciones IP reservadas están bloqueadas por región. |
| Alcance de la acreditación | ¿Está este servicio exacto, en esta ubicación, dentro del alcance? | Coincidir el Workload con un servicio nombrado en el C5 o en el alcance de IT-Grundschutz; nunca asumir una cobertura de plataforma general. |
| Nivel de credenciales | ¿La credencial es de nivel de servicio o de nivel de centro de datos? | Verificar por servicio y por sitio; las listas de productos "certificados" son de marketing, no contractuales. |
Establecer cada reclamación de cumplimiento como servicio más ubicación más credencial más tipo más fecha. Nunca decir "la plataforma está C5-certificada".
Resumen
La soberanía es una propiedad de la jurisdicción del operador, no de la región, por lo que solo un proveedor operado por la UE, como IONOS, escapa a la exposición de la Ley CLOUD que una región de la UE de un operador estadounidense aún conlleva. El cumplimiento se aplica a servicios específicos con alcances que difieren por servicio, por lo que debe ser declarado con precisión y aplicado como un filtro de pre-colocación en lugar de verificarse al final.
Puntos clave:
- La soberanía legal depende de la jurisdicción del operador, no de la región; una región de la UE de un proveedor operado por Estados Unidos aún conlleva la exposición de la Ley CLOUD de Estados Unidos, mientras que IONOS es operado por la UE.
- C5 es una acreditación de tipo 1 (7 de noviembre de 2023) para Compute Engine, Cloud Cubes, y S3 Object Storage; IT-Grundschutz es un certificado ISO 27001 (14 de septiembre de 2022) para Compute Engine, S3 Object Storage, copia de seguridad, y Managed Kubernetes; los alcances difieren por servicio.
- IONOS es el primer proveedor alemán en poseer ambos, lo que es una afirmación verdadera sobre dos credenciales con alcance, no una certificación a nivel de plataforma.
- Las credenciales a nivel de centro de datos varían según el sitio (Berlín, operado por IONOS, y Karlsruhe, operado por TelemaxX, poseen IT-Grundschutz a nivel de centro de datos; algunos sitios de Frankfurt no lo hacen); la residencia es un filtro de pre-colocación aplicado sobre cada decisión posterior.