El cumplimiento del nuevo reglamento de protección de datos (RGPD) ha puesto las pilas a las empresas a la hora de proteger la información que gestionan día a día. En esta ardua tarea, la figura del proveedor cloud desempeña un papel clave por su contribución al cumplimiento normativo.
RGPD ha supuesto un antes y un después en el tratamiento de los datos y, en esa responsabilidad de las organizaciones en la gestión de los mismos, el proveedor de servicios cloud elegido cobra una mayor relevancia.
Así lo ha puesto de manifiesto el abogado Tomás Serna durante la pasada edición de OpenExpo Europe, haciendo especial hincapié en la responsabilidad que tenemos en la elección del partner adecuado.
En este sentido, y dada la responsabilidad que tenemos sobre el tratamiento de los datos, y lo que el proveedor cloud también haga con ellos, Serna detalla diez aspectos clave a tener en cuenta a la hora de elegir un “proveedor serio”.
El proveedor cloud elegido deberá comunicar al responsable de la empresa que le contrata si subcontrata a otro proveedor y hacerle conocedor de las obligaciones correspondientes conforme al RGPD.
Tanto los profesionales de administración como de operación de sistemas deben disponer de la formación necesaria para cumplir con la gestión de los datos y cumplir con los procedimientos que contempla el nuevo RGPD. Asimismo, debe mantenerse una relación actualizada de los usuarios con acceso a la gestión de esos datos que deben implantar mecanismos para garantizar su confidencialidad y tener una lista del personal autorizado para conceder, alterar o anular el acceso a los mismos.
Además de disponer de un circuito cerrado de televisión, climatización y otros sistemas de protección en los data centers, el proveedor cloud debe contar con medidas de seguridad física como el control de acceso, vigilancia 24×7 y acceso biométrico para garantizar que únicamente accede a las mismas el personal autorizado.
En función de los servicios, implementar medidas de seguridad concretas como la seudonimización y el cifrado para garantizar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios.
En el caso de que el servicio lo incluya, el proveedor cloud debe realizar copias de seguridad para restaurar la disponibilidad y el acceso a los datos personales de forma rápida al producirse algún incidente físico o técnico. El modelo de backup como servicio contempla una cuota y una planificación, pero el cliente siempre tendrá el poder de establecer la política de copias de seguridad, indicando los ficheros o directorios que se deben incluir en estas copias, y pedir las restauraciones que crea convenientes.
Realizar tareas de verificación, evaluación y valoración de las medidas de seguridad, de forma regular e idealmente en el marco de un Sistema de Gestión de Seguridad.
El nuevo RGPD contempla la obligación de notificarlas en un plazo de 72 horas y, dependiendo del tipo de incidente y su gravedad, también hará que notificarlo a los usuarios afectados.
Teniendo en cuenta el alcance del servicio, el proveedor cloud debe asistir y ayudar al cliente en el cumplimiento de RGPD, así como informarle si tiene conocimiento de que puede estar infringiendo el reglamento.
Debe poner a disposición del cliente toda la información necesaria para demostrar el cumplimiento, en auditorías e inspecciones. Las autoridades competentes comprobarán en sus auditorías si se han tenido en cuenta la privacidad y protección de datos en la selección de proveedores.
Los datos siempre pertenecen al cliente por lo que, una vez terminado el contrato de servicio, no puede quedarse con los datos.