Puntos clave:
- La creciente dependencia de las empresas de los proveedores de software crea un riesgo operativo significativo, lo que hace que los contratos de custodia de software sean un componente clave de las estrategias de gestión de riesgos y continuidad empresarial.
- Una custodia de software es un acuerdo tripartito por el que un tercero de confianza custodia el código fuente del proveedor, garantizando el acceso del cliente si el proveedor falla (por ejemplo, quiebra o interrupción).
- Los acuerdos de custodia de software suelen ser obligatorios en los sectores regulados y se recomiendan para cualquier organización que dependa en gran medida de software crítico de terceros.
- Para los clientes, la custodia reduce la dependencia del proveedor, apoya el cumplimiento y garantiza la continuidad; para los proveedores, proporciona una prueba de propiedad y aumenta el valor de los activos y la confianza de los inversores.
- Existen dos tipos principales de custodia: bipartita (acuerdo directo cliente-proveedor con visibilidad sobre los depósitos) y tripartita (la más común, en la que el agente de custodia hace cumplir activamente las obligaciones contractuales).
- Los agentes de custodia independientes garantizan un almacenamiento seguro, un acceso controlado y unos procedimientos de verificación estrictos, proporcionando confianza, transparencia y protección de la propiedad intelectual a todas las partes.
En el mundo actual, en el que prima la tecnología, cada vez más empresas se esfuerzan por tener una presencia global, pero necesitan estar a la altura de las exigencias siempre cambiantes del mundo digital, al tiempo que mitigan el riesgo empresarial. La creciente dependencia del software es evidente, ya que las organizaciones gastan alrededor de 2.623 dólares al año por empleado en todo el mundo sólo en soluciones SaaS. (1)
Sin embargo, esta necesidad de crecimiento empresarial global conlleva un nivel de riesgo, especialmente cuando una empresa o un producto dependen de uno o dos proveedores de software. El apagón de Internet del año pasado, que provocó la caída durante horas de algunos de los mayores sitios web del mundo y tuvo un enorme impacto en los ingresos de las empresas, fue causado por un fallo de un único proveedor de infraestructura de software. (2)
Con la creciente presión para proteger la continuidad de la empresa y evitar fallos tecnológicos catastróficos que pueden afectar a todo el negocio, las empresas deben considerar las fianzas de software como parte de su estrategia global de gestión de riesgos.
¿Por qué son importantes las garantías de software?
Hay muchas razones por las que una empresa querría preparar un acuerdo de custodia de software. En algunos sectores, como el bancario, los acuerdos de custodia de software suelen ser obligatorios para todos los proveedores, dado el cumplimiento y las sensibilidades en torno a las finanzas.
Por tanto, si una empresa de cualquier sector depende en gran medida de un determinado software de un proveedor, debería plantearse un acuerdo de custodia de software para protegerse de los fallos tecnológicos y la interrupción de la actividad empresarial.
¿Qué es un software escrow?
Una custodia de software es un contrato entre un proveedor de software y su cliente que ayuda a garantizar la continuidad de la actividad empresarial del cliente en caso de que falle el proveedor. Al igual que un contrato de custodia cuando una persona compra una casa, por el que un tercero retiene temporalmente los fondos hasta que se cumple el acuerdo de compra, una custodia de software implica que un tercero -el proveedor de custodia de software- retiene el código fuente de un proveedor de software mediante un sistema de depósito. Esto significa que si un proveedor de software entra en liquidación, quiebra o experimenta otra interrupción que pudiera afectar potencialmente a sus clientes, el cliente obtendrá acceso al código fuente para poder seguir utilizando el software y evitar una interrupción crítica del negocio.
Un contrato de custodia de software implica a tres partes diferentes:
- El cliente, o licenciatario del proveedor de software: suele iniciar la solicitud de un acuerdo de custodia con el proveedor, a menudo por motivos de cumplimiento o como parte de su estrategia de mitigación de riesgos.
- El proveedor de software: es responsable de depositar el código fuente del software en un tercero y de garantizar la actualización periódica de los activos depositados.
- El agente de custodia: el tercero que retiene el material depositado hasta que se cumplan las condiciones de liberación.
Disponer de una custodia de software entre un proveedor de software y su cliente aporta muchas ventajas.
Para el cliente, permite a su organización limitar la dependencia de los proveedores y aplicar planes eficaces de continuidad empresarial que garanticen el cumplimiento de las normas internas y reglamentarias. Esencialmente, un depósito en garantía es un manto de seguridad y una garantía adicionales para el cliente.
Para el proveedor de software, tener un acuerdo de custodia de software con un cliente, le obliga a depositar su código fuente en el proveedor de custodia de software de confianza, como parte del acuerdo. A cambio, el proveedor de custodia entregará un certificado como prueba del depósito, que en sí mismo tiene un gran valor para el proveedor de software. De hecho, al realizar este depósito, el proveedor de software puede hacer valer la propiedad de su software y aportar una prueba reconocida ante un tribunal en caso de litigio por derechos de autor. Esta medida también añade valor al negocio del proveedor de software, ya que los clientes o inversores estarán tranquilos al saber que han adquirido un activo con una PI protegida.
Tipos de contratos de custodia de software
Hay 2 tipos diferentes de fideicomisos de software que los clientes pueden elegir formar con su proveedor de software, con diferentes niveles de derechos de acceso.
Depósito bipartito de software
Un Escrow de Software Bipartito es un tipo de contrato de escrow entre el proveedor de software y el cliente que es independiente del contrato comercial. Tanto el proveedor de software como el cliente tienen acceso a la plataforma del agente de custodia que contiene los elementos custodiados, lo que significa que el cliente puede ver el estado del depósito realizado por el proveedor de software en el contexto del contrato y reaccionar si no se respetan los términos. Por ejemplo, un cliente puede detectar si el proveedor no actualizó el depósito según lo acordado en su contrato.
Fideicomiso tripartito de software
Un Software Escrow Tripartito se considera la forma óptima y más común de escrow. En este acuerdo, la función del agente de custodia es garantizar que el proveedor respeta las condiciones acordadas con el cliente y le exigirá que las cumpla, además de informar debidamente al cliente en caso de que las infrinja. Esto se lleva a cabo a través de un sistema de gestión centralizada de los proveedores por parte de un agente de custodia, mediante el cual los proveedores pueden cumplir fácilmente las condiciones de su contrato, por ejemplo, manteniendo actualizado el código fuente, así como renovando los pagos y las cuotas.
En Vaultinum, un acuerdo de custodia de software es posible independientemente del método de entrega del software, ya sea instalado en máquinas cliente, SaaS o basado en la nube.
Depósito en garantía del código fuente para mayor tranquilidad
El software sigue siendo una parte esencial de muchas organizaciones, y sin la protección del software y los activos digitales subcontratados, las empresas podrían quedar en una situación vulnerable. Constituir las fianzas de software adecuadas e incorporarlas como parte del proceso de incorporación con los proveedores, añade una capa adicional de protección tanto para los proveedores de software como para los clientes, proporcionando en última instancia transparencia y tranquilidad a ambas partes.
Naturalmente, el proveedor de software no quiere que el cliente tenga acceso antes o a menos que se cumplan determinadas condiciones. Del mismo modo, el cliente quiere asegurarse de que, si se cumplen las condiciones acordadas previamente, tendrá acceso a su código fuente.
Utilizar a un Tercero Independiente de Confianza, como Vaultinum, como Agente de Custodia, no sólo da al proveedor de software la tranquilidad de que su código fuente está encriptado y almacenado de forma segura mediante el algoritmo de encriptación AES 256, sino que también crea un círculo de confianza entre todas las partes implicadas.
Vaultinum garantiza la aplicación de un estricto procedimiento de acceso, lo que significa que si se produce alguna de las condiciones de liberación acordadas en la custodia de software, Vaultinum aplicará un proceso de verificación estricto y transparente, antes de permitir al beneficiario acceder a los elementos custodiados.
Desde 1976, miles de creadores digitales, empresas e inversores han confiado en Vaultinum para asegurar sus innovaciones y proteger su propiedad intelectual, garantizando al mismo tiempo la continuidad de su actividad empresarial. Descubre cómo podemos hacer lo mismo por ti.
Referencias
(1) https://enable.com/articles/10-statistics-that-show-saas-is-not-going-anywhere
(2) https://www.verdict.co.uk/fastly-outage-internet-broke/
