El nuevo Reglamento General de Protección de Datos de la UE (RGPD) entrará en vigor el 25 de mayo de 2018. Como resultado, las empresas de todos los tamaños deben revisar los cambios introducidos por el RGPD e identificar las implicaciones organizativas y técnicas específicas para ellas. A menos de un mes del plazo impuesto, muchas empresas aún no se consideran "preparadas para el RGPD". Muchas de ellas se esfuerzan por implementar las políticas de privacidad y seguridad de TI adecuadas. La computación en la nube y un mayor nivel de protección de datos deberían ir de la mano. Aparte de algunos temores iniciales, los nuevos desafíos regulatorios podrían abrir potencialmente nuevas oportunidades tanto para los proveedores de la nube como para los usuarios de la nube.
¿TL;DR? Salta a los seis criterios clave…
Introducción
La protección de datos y la seguridad de los datos están cobrando cada vez más protagonismo en el transcurso de la digitalización. Se consideran una cualificación clave para seguir con éxito el camino de la transformación digital.
El trasfondo y el objetivo del RGPD es la armonización entre los países miembros de la UE, de modo que sea válida una ley de protección de datos uniforme para la zona de la UE y, al mismo tiempo, se mejore la posición jurídica de los afectados. Estos son algunos de los cambios más importantes a la luz del RGPD:
- Las multas por infracciones aumentan significativamente – hasta un 2 o 4 por ciento de los ingresos anuales, según la gravedad de la infracción.
- Los derechos de las personas afectadas se ven significativamente reforzados por los requisitos de transparencia e información.
- Además de las conocidas obligaciones relativas a la protección de datos, se introducen nuevas obligaciones, por ejemplo, para la configuración predeterminada respetuosa con la privacidad de los dispositivos electrónicos.
- El nuevo reglamento también se aplica a las empresas que no tienen sede en la UE pero recopilan datos de ciudadanos de la UE.
Los desafíos
Los responsables de la toma de decisiones corporativas y los expertos en seguridad se preguntan ahora cómo serán las nuevas regulaciones del RGPD. Y cómo deben preparar y llevar a cabo la implementación del RGPD. Además, la cuestión de la “preparación para el RGPD” resuena entre los Directores de Seguridad de la Información (CISO).
Un gran número de responsables de la toma de decisiones empresariales pensará que se trata de “otra nueva regulación de Bruselas de la que nadie se dará cuenta”. Sin embargo, el RGPD tiene buenas razones para ser tenido en cuenta. En primer lugar, los cambios regulatorios reforzarán los derechos de todos los afectados. Esto puede dar lugar a sanciones financieras significativas en el futuro en caso de violaciones de datos que afecten a ciudadanos de la UE.
Además de un posible daño material, un posible daño a la reputación corporativa también es de gran importancia. Los medios de comunicación están atentos para publicar problemas de privacidad. Esto es una señal de advertencia para todas las empresas que aún tienen que reunir la experiencia necesaria para cumplir con los nuevos requisitos. Esto se debe a que, con la entrada en vigor del RGPD en mayo de 2018, las multas se incrementarán drásticamente. Con multas de hasta 20 millones de euros o hasta el 4% de la facturación anual, el tema del RGPD ha captado la atención a nivel directivo en empresas de todos los tamaños.
El RGPD en el contexto de la computación en la nube
Las nuevas regulaciones relativas a la protección de datos” son tanto un desafío como una oportunidad. Un indicador clave para la “preparación para el RGPD” es la mentalidad de protección de datos dentro de las empresas y el nivel de protección de datos proporcionado, lo que significa qué, dónde y cómo operan las cargas de trabajo críticas para el negocio en las infraestructuras de la nube.
Para muchas empresas, el RGPD es un proyecto complejo. Los desafíos legales, técnicos y organizativos que plantea el RGPD hasta ahora solo se han conciliado parcialmente. Particularmente en el caso de grandes proyectos de migración en el entorno de la computación en la nube, en el entorno de IoT o en escenarios de big data, el negocio diario deja poco tiempo para preocuparse por la implementación del RGPD. Sin embargo, además de numerosos desafíos de implementación, el RGPD también ofrece la oportunidad de sobresalir al redefinir e implementar nuevas estrategias de protección de datos y seguridad de TI, especialmente en el contexto de la computación en la nube.
Como resultado, el tema de la computación en la nube plantea muchas preguntas en el contexto del RGPD. En términos técnicos, la computación en la nube es un contrato de procesamiento de datos. Por lo tanto, el usuario de la nube debe ser plenamente consciente de la forma en que el proveedor procesa sus datos en todo momento. Los proveedores de la nube y los proveedores de recursos solo respaldan sus funciones y dependen de los requisitos legales de la autoridad responsable. En otras palabras, tanto los proveedores de la nube como las empresas deben cumplir con los requisitos legales mínimos para cada servicio en la nube según el RGPD.
¿Cómo aprovechar los desafíos potenciales detrás del RGPD? Hay dos preguntas principales. Por un lado, las empresas necesitan saber en qué proveedores de la nube pueden confiar. Por otro lado, las empresas necesitan saber qué medidas técnicas y organizativas deben tomar para ser “conformes con el RGPD”.
Oportunidades y obligaciones para los CISO – el socio de nube adecuado
El socio de nube adecuado puede ser un valioso colaborador a la luz del RGPD. Ya que con su experiencia en cumplimiento y seguridad puede ayudar a su empresa a estar “preparada para el RGPD”.
Si aplica una estrategia de múltiples nubes, debe evaluar las políticas de protección de datos de cada proveedor de nube. Los enfoques híbridos y de múltiples nubes son mucho más complejos de coordinar y, por lo tanto, pueden presentar un mayor riesgo de protección de datos. La multitud de diferentes proveedores de nube, especialmente en el entorno de la nube pública, dificulta que los CISO garanticen el cumplimiento del RGPD. El cumplimiento del RGPD es tan fuerte como el eslabón más débil. Por ejemplo, una brecha o el incumplimiento por parte de un solo proveedor de nube dentro de una implementación de múltiples nubes puede socavar todos los esfuerzos para lograr un cumplimiento exitoso del RGPD.
Seis criterios clave
A continuación, hemos enumerado un conjunto rápido de criterios que puede utilizar para evaluar a sus socios de nube potenciales (en términos de su cumplimiento del RGPD):
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″ ] [vc_column width=”1/2″ style=”text-align: left;”]Seguridad y privacidad
El primer paso es evaluar hasta qué punto el proveedor es capaz de cumplir con sus requisitos de seguridad de TI. Una forma sencilla en que los proveedores de la nube pueden demostrar el cumplimiento de la seguridad y la “Privacidad desde el diseño” es contar con la certificación ISO 27001 o ISO 27018. De lo contrario, pueden demostrarlo a través de una evaluación de impacto de protección de datos (EIPD) realizada y/o una evaluación de seguridad.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
Cumplimiento de CloudSigma
CloudSigma está certificada en ISO 27001, lo que garantiza que todos los aspectos de nuestra infraestructura y servicios utilizados para entregar y administrar su nube cumplan con el estándar de certificación ISO más alto en relación con la seguridad y la privacidad de los datos.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
Gestión de riesgos
Las empresas que trabajan con una amplia gama de datos críticos deben proporcionar garantías suficientes (de conformidad con el Artículo 28 del Reglamento RGPD). Estas garantías deben demostrar que el responsable del tratamiento utiliza:
“Únicamente encargados del tratamiento que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas. Y de tal manera que el tratamiento cumpla con los requisitos de este Reglamento y garantice la protección de los derechos del interesado.”
Por lo tanto, debe asegurarse de que su proveedor de la nube realice auditorías periódicas para su revisión. Asimismo, la valoración y evaluación de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. Además, debe asegurarse de que el socio de la nube conceda el derecho de auditoría a sus clientes.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
Cumplimiento de CloudSigma
Como cliente de cualquier plataforma en la nube de CloudSigma, usted está oficialmente autorizado para realizar auditorías de seguridad, operaciones y procesos en relación con los servicios que le prestamos.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
Ubicación de los datos
Siempre debe conocer la ubicación general de sus datos. Sin embargo, no todos los socios de la nube le brindan la transparencia necesaria en relación con las ubicaciones de la nube. Tenga en cuenta que la sede del proveedor de la nube no es necesariamente el lugar de alojamiento de sus datos. Además, algunas empresas pueden mover sus datos entre diferentes ubicaciones de la nube en segundo plano, sin informarle. Esto puede formar parte de las Condiciones de servicio del socio de la nube. Por último, pero no menos importante, los proveedores de servicios en la nube pueden almacenar datos en múltiples ubicaciones. Y algunas de estas pueden estar fuera del EEE. Como Responsable del tratamiento, debe definir una estrategia de nube multipaís para cumplir con los requisitos de adecuación, así como con las leyes de localización de datos.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
Cumplimiento de CloudSigma
Como parte de nuestras Condiciones de servicio, CloudSigma está estructurada para separar legalmente las ubicaciones de la nube por país. Como resultado, cada ubicación está sujeta únicamente al marco legal local. Todo ello ofreciendo una solución de nube 100% local para los clientes finales.
Las ubicaciones tampoco están interconectadas técnicamente y CloudSigma garantiza la máxima transparencia con respecto a la ubicación exacta de los datos, que nunca se transferirán entre ubicaciones de la nube.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
Funciones de seguridad
El RGPD exige una serie de salvaguardas de protección de datos, desde el cifrado en reposo y en tránsito hasta los controles de acceso, pasando por la seudonimización y anonimización de los datos. Para lograrlo, elija un socio de la nube que disponga de suficientes funciones de seguridad entre las que elegir. Por ejemplo – copia de seguridad, cifrado, políticas de control de acceso y otros. Si su socio de la nube no dispone de dicha política, deberá encargarse usted mismo de las funciones de seguridad.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
Cumplimiento de CloudSigma
CloudSigma se esfuerza por ofrecer un alto grado de seguridad y privacidad a los clientes con una selección de funciones y herramientas que les permiten proteger los diversos aspectos de su informática. En nuestro blog, los clientes pueden encontrar varios artículos que describen las diferentes funciones de seguridad como el cifrado a nivel de arranque, las políticas de control de acceso, la verificación en dos pasos, las claves SSH y otras.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
Mi
Propiedad de los datos
Como cliente de un proveedor de la nube, usted es el Responsable del Tratamiento de los Datos. Esto significa que debe mantener el control y la propiedad de sus propios datos. Puede lograrlo firmando un Acuerdo de Procesamiento de Datos con su socio de la nube para garantizar que este cumpla con los requisitos de protección de la privacidad de los datos según el RGPD. Puede redactar el suyo propio o comprobar si su socio de la nube ha creado un DPA como parte estándar de los Términos de Servicio. La ventaja de utilizar el suyo propio es que puede especificar el tipo de datos personales y datos «especiales» recopilados. Independientemente de si utiliza el DPA de su socio o el suyo propio, asegúrese de que los términos establezcan claramente que el Responsable del Tratamiento (es decir, usted) es el propietario de los datos y que el Encargado del Tratamiento (es decir, el socio de la nube) no compartirá los datos con terceros.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
Cumplimiento de CloudSigma
CloudSigma ha creado un Acuerdo de Procesamiento de Datos (DPA), que permite a los clientes cumplir con sus obligaciones del RGPD. Hemos actualizado las partes relevantes de nuestros documentos de Términos de Servicio y Política de Privacidad para hacer referencia al DPA y cumplir con el RGPD.
Además, nuestra Política de Privacidad estándar es un documento muy transparente que describe toda la recopilación, almacenamiento y uso de los datos de los clientes en la nube.
Los clientes conservan el acceso exclusivo y total a nivel de sistema de archivos a sus datos. El sistema de CloudSigma no tiene acceso ni visibilidad dentro de las VM o unidades. El sistema de gestión en la nube de CloudSigma implementa un marco de control de acceso que limita los derechos y el acceso de los empleados, además de registrar las acciones realizadas en el sistema.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
Eliminación de datos
Debe asegurarse de que, una vez finalizado su contrato con el socio de la nube, pueda descargar o borrar los datos. Y también de que el socio de la nube eliminará los datos una vez que haya cancelado el servicio. Algunos proveedores de la nube (especialmente cuando están certificados bajo la norma ISO) utilizan políticas estandarizadas para eliminar los datos tras la expiración del contrato. Intente averiguar cuánto tiempo le toma al proveedor de la nube eliminar sus datos.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
Cumplimiento de CloudSigma
En CloudSigma, el sistema gestiona automáticamente todos los datos de los clientes. Esto incluye la eliminación de unidades, la eliminación programada para cuentas obsoletas, etc.
CloudSigma no realiza copias de los datos de las unidades de los clientes. La única copia se encuentra en nuestra nube, a menos que el cliente decida clonar la unidad en otro sistema de almacenamiento.
Además, como parte de nuestro Acuerdo de Procesamiento de Datos, puede solicitar la rectificación, eliminación, bloqueo y/o puesta a disposición de sus datos durante o después de la finalización del uso del servicio.
[/vc_column]
[/vc_row]
Entonces, ¿hasta qué punto está su propia empresa “lista para el RGPD” hoy en día?
No dude en ponerse en contacto con nosotros en dpo (at) cloudsigma.com para obtener más información sobre CloudSigma y el RGPD.
Fuentes:
Comentarios
Aún no hay comentarios. Sea el primero.