- La nueva normativa impone a las empresas la obligación de elegir un “proveedor serio”
- El proveedor cloud como “encargado de tratamiento” debe seguir las instrucciones documentadas por el cliente, pero también debe tomar medidas concretas de seguridad
acens (www.acens.com), especialista en servicios de Cloud Hosting, Hosting, Housing y Soluciones de Telecomunicaciones para el mercado empresarial, ha compartido su visión sobre lo que debe hacer un proveedor de servicios cloud en cumplimiento del RGPD. Aunque la normativa impone a la empresas la obligación de elegir a un proveedor “serio”, no llega a estipular qué debe cumplir dicho proveedor para ser considerado como tal. Sin embargo, apunta las siguientes claves a tener en cuenta al elegir un proveedor cloud:
-
Deberá comunicar al responsable si subcontrata a otro proveedor y transmitirle las obligaciones correspondientes. La ley no impide subcontratación de servicios, pero exige transparencia en la relación contractual entre la empresa y el proveedor de servicios cloud y la necesidad de comunicar debidamente las obligaciones a cumplimentar por todos y cada uno de los proveedores subcontratados conforme al RGPD.
-
Formalizará un compromiso de confidencialidad y con el personal de administración y operación de sistemas y les formará en GDPR. “El personal de administración y operación de sistemas ha de recibir la formación necesaria para realizar las labores de gestión en los sistemas implicados, disponer de las normas y procedimientos para la realización de éstas y ser consciente del compromiso que mantenga en lo relativo a la confidencialidad e integridad de los datos del cliente”, explica Tomás Serna, abogado especializado en sectores de Internet, media y high-tech. Además “se debe mantener una relación actualizada de usuarios con acceso autorizado a la administración y operación de los sistemas de información, con la existencia de un procedimiento de asignación, distribución y almacenamiento de contraseñas de acceso que garantice su confidencialidad e integridad, y con mecanismos para la identificación de forma inequívoca y personalizada de estos usuarios. Asimismo, se debe indicar el acceso autorizado para cada uno de los usuarios, además de la lista de personal con autorización para conceder, alterar o anular el acceso autorizado sobre datos y recursos relativos al servicio prestado por el proveedor”, señala Serna.
-
Garantizará que únicamente accede al CPD el personal autorizado. Se debe contar con medidas de seguridad física en Data Centers, como el control de acceso, vigilancia 24x7 y acceso biométrico para garantizar que únicamente accede a las mismas el personal autorizado. Además, también se deben incorporar circuitos cerrados de TV, sistemas de alimentación ininterrumpida, climatización, detección y extinción de incendios, sistemas tolerantes a fallos, entre otros.
-
En función de los servicios, implantará medidas de seguridad concretas como la seudonimización y el cifrado para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. En relación con las medidas de seguridad, el reglamento menciona algunos mecanismos y medidas de control como la seudonimización y el cifrado para garantizar la confidencialidad, disponibilidad y acceso a los datos, así como la capacidad del sistema capacidad de soportar datos y recuperarse ante incidentes. “acens proporciona la base para mantener seguros los datos albergados en su infraestructura para que la empresa se preocupe de su negocio, pero sin dejar de tener presente los derechos de los interesados y las buenas prácticas en el uso de datos personales que efectúas por tu parte o que subcontrata a otros terceros”, señala Serna.
-
Si lo incluye el servicio, realizará copias de seguridad para restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico. El proveedor cloud ha de realizar copias de seguridad de la información del cliente según el modelo de servicio de backup contratado, cuota y planificación, pero será responsabilidad del cliente establecer la política de copias de seguridad, indicando los ficheros o directorios que se deben incluir en estas copias de seguridad, así como solicitar las restauraciones oportunas en su caso para realizar las verificaciones que estime pertinentes. Si el servicio de backup incluye la posibilidad de gestionar la planificación por parte del cliente, será responsabilidad del cliente realizar la planificación y verificar la realización de las copias en base a la información recibida
-
Realizará tareas de verificación, evaluación y valoración de las medidas de seguridad, de forma regular e idealmente en el marco de un Sistema de Gestión de Seguridad.
-
Notificará al cliente las incidencias de seguridad cuanto antes. La notificación de incidentes de seguridad a la autoridad competente ya existía para ciertos proveedores de servicio, pero ahora se amplía siendo de ámbito global para todas las compañías. “Una de las novedades más importantes que introduce esta regulación es la obligatoriedad de notificar las violaciones de seguridad cuando son relativas a la privacidad de datos. Hay un plazo de 72 horas e incluso dependiendo del tipo de incidente y de su gravedad será necesario comunicarlo a los usuarios afectados”, advierte Serna.
-
Teniendo en cuenta el alcance del servicio, asistirá y ayudará al cliente en el cumplimiento de RGPD e informará si considera que recibe instrucciones que pueden infringir el RGPD.
-
Pondrá disposición del responsable toda la información necesaria para demostrar el cumplimiento en auditorías e inspecciones. Las autoridades competentes comprobarán en sus auditorías si se han tenido en cuenta la privacidad y protección de datos en la selección de proveedores.
-
Suprimirá o devolverá los datos al finalizar el contrato.
“acens cuenta con un Sistema de Gestión de la Seguridad de la Información certificado y auditado por terceros desde hace más de 10 años. La compañía está habituada a las revisiones y a aportar la información que demuestra el cumplimiento, ofreciendo la debida colaboración y trasparencia a los clientes que lo solicitan”, explica Tomás Serna. “En acens no se preocupan por los datos albergados en sus CPDs, sino que se ocupan de la seguridad de dichos datos. Lo que les preocupa son los datos que estén almacenados en ubicaciones que no tengan medidas de seguridad, gestión y control similares a las que aporta acens”, concluyen Serna.
Puedes encontrar más información sobre Cloud Hosting, Internet y Tecnología en el blog de acens. También puedes suscribirte al boletín de noticias acensNews, ver vídeos en acens.tv, apuntarte a cursos gratuitos en Formacionacens.com y seguirnos en Facebook (acenstec), Twitter (@acens) e Instagram (@acens_com).