Análisis
acens recuerda lo que un proveedor cloud debe hacer para ser 'serio' y cumplir el RGPD
acens ha compartido su visión sobre lo que debe hacer un proveedor de servicios cloud en cumplimiento del RGPD. Aunque la normativa impone a la empresas la obligación de elegir a un proveedor “serio”, no llega a estipular qué debe cumplir dicho proveedor para ser considerado como tal .
En este sentido, la filial de Telefónica especializada en servicios de cloud hosting, housing y soluciones de telecomunicaciones para el mercado empresarial, apunta las siguientes claves a tener en cuenta al elegir un proveedor cloud:
El nuevo reglamento de la UE no impide subcontratación de servicios, pero exige transparencia en la relación contractual entre la empresa y el proveedor de servicios cloud
1.- Deberá comunicar al responsable si subcontrata a otro proveedor y transmitirle las obligaciones correspondientes - El nuevo reglamento de la UE no impide subcontratación de servicios, pero exige transparencia en la relación contractual entre la empresa y el proveedor de servicios cloud y la necesidad de comunicar debidamente las obligaciones a cumplimentar por todos y cada uno de los proveedores subcontratados conforme al RGPD.
2.- Formalizará un compromiso de confidencialidad y con el personal de administración y operación de sistemas y les formará en GDPR - “El personal de administración y operación de sistemas ha de recibir la formación necesaria para realizar las labores de gestión en los sistemas implicados, disponer de las normas y procedimientos para la realización de éstas y ser consciente del compromiso que mantenga en lo relativo a la confidencialidad e integridad de los datos del cliente”, explica Tomás Serna, abogado especializado en sectores de Internet, media y high-tech.
Además “se debe mantener una relación actualizada de usuarios con acceso autorizado a la administración y operación de los sistemas de información, con la existencia de un procedimiento de asignación, distribución y almacenamiento de contraseñas de acceso que garantice su confidencialidad e integridad, y con mecanismos para la identificación de forma inequívoca y personalizada de estos usuarios. Asimismo, se debe indicar el acceso autorizado para cada uno de los usuarios, además de la lista de personal con autorización para conceder, alterar o anular el acceso autorizado sobre datos y recursos relativos al servicio prestado por el proveedor”, señala Serna.
El personal de administración y operación de sistemas ha de recibir la formación necesaria para realizar las labores de gestión en los sistemas implicados, disponer de las normas y procedimientos para la realización de éstas y ser consciente del compromiso que mantenga en lo relativo a la confidencialidad e integridad de los datos del cliente
Tomás Serna
3.- Garantizará que únicamente accede al CPD el personal autorizado - Se debe contar con medidas de seguridad física en Data Centers, como el control de acceso, vigilancia 24x7 y acceso biométrico para garantizar que únicamente accede a las mismas el personal autorizado. Además, también se deben incorporar circuitos cerrados de TV, sistemas de alimentación ininterrumpida, climatización, detección y extinción de incendios, sistemas tolerantes a fallos, entre otros.
4.- En función de los servicios, implantará medidas de seguridad concretas como la seudonimización y el cifrado para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento - En relación con las medidas de seguridad, el reglamento menciona algunos mecanismos y medidas de control como la seudonimización y el cifrado para garantizar la confidencialidad, disponibilidad y acceso a los datos, así como la capacidad del sistema capacidad de soportar datos y recuperarse ante incidentes.
“acens proporciona la base para mantener seguros los datos albergados en su infraestructura para que la empresa se preocupe de su negocio, pero sin dejar de tener presente los derechos de los interesados y las buenas prácticas en el uso de datos personales que efectúas por tu parte o que subcontrata a otros terceros”, señala Serna.
5.- Si lo incluye el servicio, realizará copias de seguridad para restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico - El proveedor cloud ha de realizar copias de seguridad de la información del cliente según el modelo de servicio de backup contratado, cuota y planificación, pero será responsabilidad del cliente establecer la política de copias de seguridad, indicando los ficheros o directorios que se deben incluir en estas copias de seguridad, así como solicitar las restauraciones oportunas en su caso para realizar las verificaciones que estime pertinentes.
acens cuenta con un sistema de gestión de la seguridad de la Información certificado y auditado por terceros desde hace más de 10 años. La compañía está habituada a las revisiones y a aportar la información que demuestra el cumplimiento, ofreciendo la debida colaboración y trasparencia a los clientes que lo solicitan
Tomás Serna
Si el servicio de backup incluye la posibilidad de gestionar la planificación por parte del cliente, será responsabilidad del cliente realizar la planificación y verificar la realización de las copias en base a la información recibida.
6.- Realizará tareas de verificación, evaluación y valoración de las medidas de seguridad, de forma regular e idealmente en el marco de un Sistema de Gestión de Seguridad.
7.- Notificará al cliente las incidencias de seguridad cuanto antes - La notificación de incidentes de seguridad a la autoridad competente ya existía para ciertos proveedores de servicio, pero ahora se amplía siendo de ámbito global para todas las compañías.
“Una de las novedades más importantes que introduce esta regulación es la obligatoriedad de notificar las violaciones de seguridad cuando son relativas a la privacidad de datos. Hay un plazo de 72 horas e incluso dependiendo del tipo de incidente y de su gravedad será necesario comunicarlo a los usuarios afectados”, advierte Serna.
8.- Teniendo en cuenta el alcance del servicio, asistirá y ayudará al cliente en el cumplimiento de RGPD e informará si considera que recibe instrucciones que pueden infringir el reglamento
9.- Pondrá disposición del responsable toda la información necesaria para demostrar el cumplimiento en auditorías e inspecciones. Las autoridades competentes comprobarán en sus auditorías si se han tenido en cuenta la privacidad y protección de datos en la selección de proveedores.
10.- Suprimirá o devolverá los datos al finalizar el contrato.
“acens cuenta con un sistema de gestión de la seguridad de la Información certificado y auditado por terceros desde hace más de 10 años. La compañía está habituada a las revisiones y a aportar la información que demuestra el cumplimiento, ofreciendo la debida colaboración y trasparencia a los clientes que lo solicitan”, explica Tomás Serna.
“En acens no se preocupan por los datos albergados en sus CPDs, sino que se ocupan de la seguridad de dichos datos. Lo que les preocupa son los datos que estén almacenados en ubicaciones que no tengan medidas de seguridad, gestión y control similares a las que aporta acens”, concluye. Más información en www.acens.com
Publicidad
Publicidad
Publicidad
Últimas Noticias
- 19/09/2023Nodo Talento: CEOE, Fundación Telefónica, KPMG, LinkedIn, Microsoft y Universia, aliados para mejorar la empleabilidad
- 28/07/2023El Gobierno amplía el programa Kit Digital a cooperativas y sociedades profesionales
- 02/06/2023UITP Public Transport Summit: Cisco desvela las claves del transporte conectado y sostenible
- 02/06/2023Kyndryl y SAP amplían su alianza para acelerar proyectos de transformación de TI y de negocio
Publicidad
Opinión
Brian Foster, vicepresidente de Gestión de Productos de MobileIron
Códigos QR: Una furtiva amenaza a la seguridad
La proliferación de códigos QR, como ‘atajo’ cómodo y sencillo para acceder desde el móvil a informaciones, funciones o webs ha despertado el interés de los ciberdelincuentes convertidos en vía sencilla de difundir malware. Brian Foster, vicepresidente de Gestión de Productos de MobileIron, analiza el fenómeno y señala aspecto a tener en cuenta para protegerse de versiones maliciosas de los códigos QR
Soluciones
Swarovski traslada a la nube su infraestructura TI con las soluciones Rise y Commerce Cloud de SAP
Mejorar costes y eficiencia son los objetivos que persigue la estrategia LUXingnite de Swarovski y que contempla el traslado a la nube de toda la infraestructura digital basada en software de SAP y su entorno de comercio electrónico