054.2 Lección 1

Cuando el servicio se basa entera o en gran parte en software de código abierto, podemos llamarlo modelo de negocio de código abierto. Dado que el software de código abierto se puede descargar y utilizar sin pagar una tarifa, los modelos comerciales de servicios de código abierto han desarrollado productos y servicios específicos dependiendo, entre otras cosas, de la proporción de software libre en el producto real.

Si todo el software está bajo una licencia libre, un modelo de negocio puede consistir en hosting, es decir, proporcionar el software en una plataforma confiable y segura. Esto elimina el esfuerzo y el riesgo de que los clientes operen sus propios servidores. A cambio, los clientes pagan tarifas de uso al proveedor de servicios. Las tarifas pueden estar relacionadas con la cantidad de cuentas de usuario, el volumen de datos que se almacenan o transfieren, o ciertos intervalos de tiempo. En algunos casos, varios proveedores diferentes ofrecen servicios pagos para el mismo software de código abierto.

Este popular modelo de negocio a menudo implica suscripciones, donde los clientes pagan una tarifa mensual o anual para acceder al servicio. El acceso suele combinarse con servicios o funciones adicionales. Los proveedores pueden ofrecer múltiples niveles de suscripciones, cobrando una tarifa más alta por más funciones, más usuarios, servicios más completos o una mayor garantía de confiabilidad. Algunos proveedores también pueden ofrecer un nivel básico del servicio de forma gratuita, una variación del modelo “freemium”.

Otra fuente de ingresos popular para el modelo de negocio de proveedores de servicios de código abierto siempre ha sido ofrecer soporte. El soporte incluye asesoramiento, documentación y capacitación para los usuarios que tienen problemas al utilizar el software. Si el cliente prefiere alojar el software libre en sus propios servidores, la instalación en particular a menudo puede resultar difícil porque es posible que el usuario necesite instalar otras herramientas y bibliotecas de soporte, puede que no sepa dónde colocarlas para que todas las piezas funcionen juntas, o pueden tener problemas en su hardware y sistema operativo particulares. Por lo tanto, el apoyo y la formación de un proveedor de servicios es valioso.

También se pueden desarrollar y proporcionar servicios adicionales, como características funcionales o relacionadas con la seguridad de forma específica para el cliente. Estas características o adaptaciones del software a los requisitos de un cliente son una adición sofisticada y lucrativa al modelo de negocio. Corresponde al proveedor de servicios y al cliente decidir si las agregaciones vuelven al proyecto básico como software libre o se convierten en software propietario.

Algunos proyectos de código abierto ofrecen un modelo de licencia dual. El software está disponible bajo una licencia de software libre, que satisface las necesidades de muchos usuarios. Pero algunos usuarios quieren incorporar el software a un producto propietario, lo que no se puede hacer bajo una licencia recíproca. Por lo tanto, se proporciona a estos usuarios una licencia estándar basada en derechos de autor. El modelo de licencia dual es más eficaz para las bases de datos, porque a muchas empresas les gustaría ofrecer una base de datos eficiente y rica en funciones como parte de un producto de software propietario.

En un modelo de ingresos por publicidad, los clientes no pagan por el acceso al servicio. En cambio, el proveedor de servicios muestra anuncios a los clientes que utilizan el servicio y cobra a las empresas por colocar sus anuncios. Los proveedores de servicios de código abierto a menudo evitan el uso de servicios publicitarios propietarios debido a preocupaciones sobre la privacidad del usuario. Sin embargo, los servicios publicitarios alternativos de código abierto no realizan un seguimiento de anuncios invasivo.

En un modelo basado en comisiones, el proveedor de servicios recibe un porcentaje o tarifa por gestionar las transacciones a través de su servicio en línea. Este modelo es la base de la mayoría de los sitios de comercio electrónico, sitios de reserva de viajes y procesadores de pagos. Muchos proyectos de código abierto en este espacio son plataformas de propósito general destinadas a ser autohospedadas por el proveedor de servicios u ofrecidas como un servicio secundario basado en comisiones, donde el sitio web de cara al cliente paga un porcentaje o tarifa por una versión alojada del plataforma de código abierto.

Un modelo de negocio de contenido abierto implica la creación y distribución de contenido bajo licencias como Creative Commons para que otros puedan usarlo, modificarlo y compartirlo libremente. Se anima a los usuarios a contribuir al contenido, mejorándolo con el tiempo. Si bien el contenido en sí es libre, se pueden generar ingresos a través de productos o servicios complementarios, como donaciones, mostrar anuncios, ofrecer funciones freemium, vender productos relacionados o brindar servicios de consultoría, capacitación o soporte.

Básicamente, las licencias de software de código abierto funcionan bien con los modelos de negocio de los proveedores de servicios porque el cliente no espera ser propietario del software que proporciona el servicio. En cambio, pagan por el acceso al servicio.

Por otro lado, el uso de software de código abierto en servicios como IaaS, SaaS o PaaS plantea cuestiones legales que muchas veces no se aclaran. Sólo unas pocas licencias, en particular la Licencia Pública General GNU Affero, regulan explícitamente el uso de software libre “en el caso del software de servidor de red”.

Con otras licencias populares (como las restrictivas copyleft, la Licencia Pública General GNU y las permisivas tipo BSD), hay margen de discreción en cuanto a lo que se puede considerar “copiar”, “transmitir” o “distribución” cuando el software se utiliza a través de la red. Las decisiones sobre si el código fuente se pondrá a disposición de la aplicación o los requisitos de atribución, y en qué forma, dependen de dichas definiciones. También debe aclararse legalmente la conexión con componentes de software propietarios o la concesión de licencias de componentes complementarios de desarrollo propio. Por estas razones, es crucial en el contexto de los modelos de negocio de los proveedores de servicios aclarar las cuestiones de licencia relacionadas con el uso de software libre.

Es una buena práctica que los proveedores de servicios enumeren públicamente todo el software de código abierto que utilizan junto con su licencia respectiva, incluso cuando no estén obligados legalmente a hacerlo.

El éxito de un modelo de negocio de proveedor de servicios depende en gran medida de una experiencia satisfactoria para el cliente, especialmente con software de código abierto, donde los clientes tienen la libertad de alojar el software ellos mismos o elegir un proveedor de servicios para el mismo software. Por lo tanto, la principal ventaja competitiva de un proveedor de servicios de código abierto es la experiencia del cliente que ofrece, que puede ser más conveniente, rentable, confiable, segura o eficaz que el autohospedaje. Sin embargo, la contrapartida es que los clientes deben compartir datos con el proveedor de servicios, lo que puede generar problemas de privacidad para datos personales o sensibles.

Por seguridad, los clientes deben asegurarse de que el proveedor de servicios tenga un proceso sólido para aplicar rápidamente parches de seguridad. Vale la pena evaluar cómo el servicio gestiona las dependencias de otros proyectos de código abierto para garantizar que todo el software esté actualizado y sea seguro. El cliente también debe evaluar las políticas de seguridad del proveedor, incluida la forma en que manejan el cifrado de datos, los controles de acceso y la respuesta a incidentes.

La transparencia del software de código abierto permite una revisión exhaustiva del código por parte de la comunidad, lo que puede mejorar la seguridad al identificar y corregir vulnerabilidades. Por lo tanto, los clientes deben buscar revisiones o auditorías del software realizadas por terceros acreditados o expertos en seguridad dentro de la comunidad. Estas auditorías deben confirmar que el proveedor sigue prácticas y estándares de codificación segura durante el proceso de desarrollo, y deben considerar si el proveedor utiliza canales de CI/CD con controles de seguridad integrados para detectar vulnerabilidades de manera temprana.

Para la privacidad, los clientes deben verificar que el servicio recopile y almacene solo los datos necesarios para su funcionamiento, minimizando el riesgo de exposición de los datos. El servicio debe cifrar los datos tanto en tránsito como en reposo, mediante un cifrado seguro. Los mecanismos de control de acceso deben garantizar que sólo el personal autorizado pueda acceder a datos confidenciales.

El cliente debe comprobar que el servicio ofrece a los usuarios control sobre sus datos, como la posibilidad de eliminarlos o exportarlos. El servicio debe cumplir con las regulaciones de privacidad relevantes, como el Reglamento General de Protección de Datos (GDPR) de la Unión Europea y la Ley de Privacidad del Consumidor de California (CCPA), y brindar transparencia sobre sus prácticas de manejo de datos.

Es importante verificar que el proveedor tenga políticas y procedimientos claros para responder a las violaciones de datos, incluidos los requisitos de notificación. El cliente también debe revisar la política de privacidad del proveedor para comprender cómo se recopilan, utilizan, comparten y protegen los datos, y considerar a los terceros con los que el proveedor pueda compartir datos y asegurarse de que también cumplan con estrictos estándares de privacidad.

En general, es valioso observar los comentarios y reseñas de la comunidad para evaluar la reputación y confiabilidad del software y del proveedor de servicios. Una comunidad u organización sólida debe mantener y apoyar activamente el proyecto de código abierto. El cliente debe verificar que el proveedor tenga procedimientos regulares de respaldo de datos y planes sólidos de recuperación ante desastres, y verificar si el servicio utiliza redundancia de datos para garantizar la disponibilidad y confiabilidad.

Los proveedores de servicios deben ser conscientes de que los clientes evaluarán sus prácticas de seguridad y privacidad, la reputación de la comunidad, el cumplimiento de las regulaciones y la transparencia en el manejo de datos y, en consecuencia, deben tomar medidas para seguir las mejores prácticas.

Los proveedores de servicios suelen adoptar términos y acuerdos legales que forman la columna vertebral legal y operativa de la relación entre la empresa y sus clientes. Estos acuerdos ayudan a garantizar una comunicación clara, establecer expectativas, definir responsabilidades y brindar protección legal para ambas partes.

Los Términos de servicio (ToS) de un servicio, también conocidos como Términos y condiciones (T&C) o Términos de uso, son un acuerdo legal entre un proveedor de servicios y los clientes o usuarios de ese servicio. Los ToS describen las reglas, responsabilidades y limitaciones que rigen el uso del servicio. Protege tanto al proveedor de servicios como al cliente al definir claramente lo que cada parte puede y no puede hacer mientras proporciona o utiliza el servicio. Algunos elementos comunes de un acuerdo ToS son la confirmación que el usuario acepta cumplir con sus términos, pautas sobre comportamiento aceptable y actividades prohibidas, detalles sobre quién es el propietario del contenido creado o subido por los usuarios, información sobre la creación, seguridad y terminación de la cuenta, arbitraje o procesos de mediación para la resolución de conflictos, y límites a la responsabilidad del prestador del servicio por daños y perjuicios.

Una Política de Privacidad es una declaración que describe cómo el proveedor de servicios recopila, utiliza, almacena y protege los datos del usuario. Algunos elementos comunes de una política de privacidad son los tipos de datos que el proveedor de servicios recopila y sus métodos de recopilación, cómo utiliza los datos, las condiciones bajo las cuales el proveedor de servicios puede compartir datos con terceros e información sobre los derechos de los usuarios con respecto a sus datos, tales como como acceso, rectificación y supresión.

Un Acuerdo de nivel de servicio (SLA) es un acuerdo formal y documentado entre un proveedor de servicios y un cliente que describe el nivel de servicio esperado, incluidas las métricas de desempeño, responsabilidades y expectativas específicas. El SLA define los estándares para la prestación de servicios, proporcionando un marco claro para medir y gestionar el desempeño del servicio. Algunos elementos comunes de un SLA incluyen una descripción detallada de los servicios prestados, objetivos específicos para el desempeño del servicio, como tiempo de actividad y tiempos de respuesta, métodos para medir e informar el desempeño, consecuencias por no cumplir con los objetivos de desempeño y procedimientos para revisar y actualizar el SLA. .

Un Objetivo de Nivel de Servicio (SLO) es un componente clave de un Acuerdo de Nivel de Servicio que especifica metas u objetivos medibles para el desempeño del servicio. Estos objetivos cuantifican el nivel esperado de servicio entre un proveedor de servicios y un cliente y se utilizan para garantizar que el servicio cumpla consistentemente con los estándares acordados. Algunos elementos comunes de los SLO incluyen métricas específicas que el proveedor de servicios medirá para evaluar el desempeño del servicio (por ejemplo, tiempo de actividad, tiempo de respuesta, tiempo de resolución y rendimiento), los valores deseados o esperados para cada métrica de desempeño, las técnicas y herramientas utilizadas para medir y monitorear las métricas de desempeño, los componentes o aspectos específicos del servicio que cubre el SLO (por ejemplo, hardware, software, componentes de red o procesos específicos) y las consecuencias o recompensas basadas en si el servicio cumple o no con los SLO (por ejemplo, sanciones financieras, créditos de servicio o bonificaciones por desempeño).

Un Acuerdo de procesamiento de datos (DPA) es un contrato entre un cliente (el controlador de datos) y un proveedor de servicios (el procesador de datos) involucrado en el procesamiento de datos personales. La DPA detalla las responsabilidades y obligaciones de ambas partes para garantizar el cumplimiento de las leyes de protección de datos, como el RGPD. En algunas jurisdicciones, es obligatorio un DPA entre un proveedor de servicios y un cliente.

Los gastos más importantes en un modelo de negocio de proveedor de servicios son los costos fijos relacionados con el alojamiento de los servicios, como la compra de hardware de servidor, el pago del espacio del centro de datos, la electricidad para alimentar y enfriar los servidores, el ancho de banda de la red y los salarios del personal de implementación y mantenimiento. Algunos proveedores de servicios también pueden tener costos variables por licencias de software o servicios de terceros. Los clientes que eligen autohospedar sus servicios asumen estos costos directamente.

Al elegir software de código abierto, los proveedores de servicios y los clientes pueden reducir o eliminar los costos de licencia en comparación con el software propietario, por definición, el software de código abierto no cobra ninguna tarifa por la licencia del software. El uso de software de código abierto para crear servicios también puede ahorrar tiempo y recursos de desarrollo, y el mantenimiento y las actualizaciones impulsados por la comunidad pueden reducir los costos a largo plazo. Sin embargo, es importante considerar el costo total de propiedad (TCO) del software de código abierto, incluidos los posibles costos de soporte, mantenimiento e integración.