SaaS
En breve
Usted utiliza la aplicación tal cual, alojada y mantenida por el proveedor, como un servicio de mensajería profesional o un CRM. No tiene que ocuparse de los servidores: se conecta desde su navegador.
▶ Definición precisa
Software como servicio, según la definición del NIST (SP 800-145). El proveedor gestiona toda la cadena: infraestructura, plataforma y aplicación. El cliente se limita a configurar y utilizar el servicio, sin acceso al código ni al sistema. Ejemplos: Microsoft 365, Google Workspace, Salesforce, Notion, Slack.
Nuestro análisis
Es en el SaaS donde se concentra la casi totalidad de la exposición de las empresas francesas, ya que se trata del uso cotidiano: correo electrónico, colaboración, CRM, ERP. Lo que se utiliza sin pensarlo es precisamente aquello que nunca se cuestiona.
Ahí radica la trampa. El SaaS es técnicamente invisible: no hay que administrar ningún servidor ni elegir ningún equipo, por lo que las cuestiones relativas a la jurisdicción, la portabilidad de los datos y la reversibilidad casi nunca se plantean de antemano. Surgen en el peor momento, cuando el proveedor cierra un servicio, modifica sus condiciones o es objeto de una adquisición, y ya es demasiado tarde para salir de forma ordenada.
El RGPD exige que los datos personales tratados en un SaaS cumplan sus condiciones, lo que incluye el marco normativo para las transferencias fuera de la Unión Europea: cláusulas contractuales tipo, decisión de adecuación, garantías equivalentes. Un SaaS estadounidense sin una base jurídica adecuada para la transferencia supone una exposición directa, primero jurídica y después técnica. La comodidad de uso del SaaS oculta el hecho de que es el ámbito en el que más se delega y, por lo tanto, en el que menos se controla.
Ver también