CSA-ES e ISMS Forum quieren contribuir a la generación de confianza y transparencia en la prestación de servicios en la nube y, por ello, esta herramienta de autorregulación se alinea con la normativa europea en materia de protección de datos, en vigor y en ciernes, y con las buenas prácticas y recomendaciones de distintas autoridades de protección de datos (GT art. 29, ICO, CNIL).

Además, la versión en castellano del PLA también ha tenido en cuenta la recién publicada “Guía para la contratación de servicios de Cloud” de la Agencia Española de Protección de Datos, y sus objetivos se alinean, también, con la estrategia europea de cloud computing publicada el pasado septiembre.

Para ambos organismos, cumplimiento, protección de datos, seguridad y responsabilidad son las piezas claves de este estándar, cuya adopción contribuirá a disminuir las barreras existentes para la implantación generalizada de servicios en la nube por parte de organizaciones españolas. Asimismo podría ayudar a organizaciones establecidas en varios países de Latinoamérica, en los que el enfoque legislativo y regulatorio en materia de protección de datos coincide con el europeo, en cuanto a los principios y obligaciones.

Herramienta para proveedores y clientes

Mientras que los Acuerdos de Nivel de Servicio, también conocido por sussiglas en inglés SLA, son usados generalmente para proporcionar métricas y otro tipo de información acerca del rendimiento de los servicios, los PLAs se usarán para dirigir las prácticas en relación con la privacidad.

En concreto, el PLA está destinado a proporcionar a los clientes y clientes potenciales de servicios cloud, una herramienta para evaluar el compromiso del proveedor en materia de privacidad y protección de datos personales, capaz de apoyar el proceso de toma de decisión. A los proveedores les facilita una herramienta para la divulgación estructurada de sus prácticas en lo que se refiere a privacidad y protección de datos personales, especialmente cuando existen movimientos transfronterizos de datos.

Para Isabelle Falque-Pierrotin, presidenta de la Commission Nationale de l'informatique et des Libertés de Francia (CNIL), los PLAs construirán “un moderno marco ético y de preservación de la privacidad, adecuado a los retos a los que se enfrentan todos los stakeholders en el mundo digital”.

Por su parte, Billy Hawkes, Irish Data Protection Commissioner, valora el que “es de esperar que será aceptada por los proveedores, si quieren ser vistos como proveedores de servicios aceptables, en especial las organizaciones radicadas en la Unión Europea”.

Finalmente, José Luis Rodríguez Álvarez, director de la Agencia Española de Protección de Datos (AEPD) considera que los PLAs “configuran una guía muy completa de los elementos que deben incluirse en los contratos de computación en nube y su adopción contribuirá a incrementar la confianza en los proveedores comprometidos con la protección de datos”. Más información y, pulsando en el enlace, descarga del Esquema de Privacy Level Agreement (PLA) para la Venta de Servicios en la Nube en la Unión Europea.

Guías de Seguridad CSA-ES

CSA-ES también ha publicado recientemente otros documentos claves en el mundo de la seguridad cloud, como la traducción al castellano de las “Guías de Seguridad en Áreas Críticas en Cloud Computing”, sobre las medidas de seguridad y aspectos a tener en cuenta que pueden aplicar las organizaciones que desean apoyarse en los servicios que ofrece la nube o que desean migrar sus servicios TIC actuales, a ella; la versión española del Cloud Controls Matrix (CCM), que recoge los controles de referencia más importantes en seguridad cloud, incorporando las especificaciones de la normativa española en materia de seguridad; y la certificación CCSK en castellano, la primera certificación profesional sobre Seguridad de la Información en cloud computing.

El capítulo español de Cloud Security Alliance (CSA-ES) reúne a miembros representativos de la industria del cloud computing en España. Se trata de un foro de debate que promueve el uso de buenas prácticas para garantizar la seguridad y privacidad en el entorno del Cloud Computing, siendo una de sus áreas de interés específico el ‘Compliance en la Nube’.

CSA-ES contribuye al desarrollo de conocimiento en materia de seguridad y cumplimiento en la nube por medio de estudios y eventos propios, a la vez que promueve la guía de las mejores prácticas de seguridad cloud que publica el Cloud Security Alliance Global. ISMS Forum y CSA-ES han impulsado el Certificate Of Cloud Security Knowledge (CCSK), la primera certificación profesional en castellano sobre Seguridad de la Información en Cloud Computing. 

Respecto a la Asociación Española para el Fomento de la Seguridad de la Información, ISMS Forum Spain, es una organización sin ánimo de lucro fundada en enero de 2007 y que promieve el desarrollo, conocimiento y cultura de la Seguridad de la Información en España.

Creada con una vocación plural y abierta, se configura como un foro especializado de debate para empresas, organizaciones públicas y privadas, investigadores y profesionales donde colaborar, compartir experiencias y conocer los últimos avances y desarrollos en materia de Seguridad de la Información. ISMS Forum Spain, con más de 120 empresas asociadas y 800 profesionales asociados, es la mayor red activa de organizaciones y expertos comprometidos con la Seguridad de la Información en España. Más informacióne en www.ismsforum.es