Modelo de «Acuerdo de Nivel de Privacidad» para Cloud Services

ElevenPaths    30 julio, 2013

Uno de los principales (y más delicados) aspectos que hay que tener en cuenta a la hora de realizar una la
contratación de servicios de Cloud Computing es, sin duda alguna, el acuerdo de
servicio que se establece entre el cliente y el proveedor de servicios. En este acuerdo, uno de los factores más críticos e importantes a tener en cuenta es
la privacidad y, en concreto, el punto referente a la protección de datos
que un proveedor de servicios de Cloud Computing se compromete a mantener con
respecto al tratamiento de los datos de carácter personal.

No se debe confundir este tipo de acuerdos con los Acuerdos de Nivel de Servicio, también
conocidos por sus siglas en inglés SLA (Service
Level Agreement). Estos son usados generalmente para proporcionar
métricas y otro tipo de información acerca del rendimiento de los servicios. En concreto, el Acuerdo de Nivel de Privacidad está
orientado a suministrar a los clientes actuales y potenciales de servicios
Cloud Computing, una herramienta para evaluar y calificar el compromiso del proveedor
del servicio en el ámbito de la privacidad. De igual manera,
facilita a los proveedores una herramienta para promocionar sus buenas prácticas
respecto a la privacidad y a la protección de los datos, volviéndose especialmente
interesante sobre todo cuando la información que se va a gestionar no se encuentra dentro
de las mismas fronteras de la entidad que va a contratar el servicio con el
proveedor.
Para ello la Cloud
Security Alliance (CSA), organización de referencia encargada de promover
el uso de buenas prácticas para ofrecer garantías de seguridad en Cloud
Computing, además de educar sobre los usos de esta tecnología, ha publicado
este año un modelo de Acuerdo de Nivel de
Privacidad (Privacy Level Agreement, PLA), disponible tanto en inglés
como en español,
estableciéndose como un estándar de uso para las organizaciones a la hora de
regular la privacidad en los servicios que puedan contratarse en la nube. Dentro
de este acuerdo se contemplan los objetivos que deben cumplir este tipo de
acuerdos, las consideraciones e investigaciones que deben
realizarse antes de contratar el servicio y por último el esquema del acuerdo.
El esquema se encarga de
contemplar aspectos tan cruciales como:
  • La información del proveedor de servicio (denominación,
    dirección del lugar de establecimiento, representante local en la UE, función
    asumida en materia de protección de datos, datos de contacto del delegado de
    protección de datos que atenderá las solicitudes del cliente y datos de
    contacto del responsable de seguridad de la información).
  •  Las categorías de datos personales que el
    cliente puede o no transmitir o tratar en la nube. 
  • Las formas en que los datos serán tratados. Esto
    abarca desde las tareas llevadas a cabo por iniciativa del proveedor, las que
    el cliente solicita adicionalmente y las que éste llevará a cabo por cuenta
    propia. Además incluye temas como subcontratistas, uso de software adicional en
    el sistema del cliente o la ubicación de los datos personales. Este
    último aspecto supone una de las principales polémicas de este tipo de servicio. En función de la ubicación donde se encuentren almacenados los datos, una entidad,
    al estar sujeta a las leyes y regulaciones del país o región donde se ubica y
    no a donde resida el cliente, se puede ver afectada por leyes y regulaciones diferentes en temas de privacidad y protección de datos. Un claro ejemplo de ley (quizás intrusiva) es la americana     USA
    Patriot ACT    .
  • Temas relacionados a transferencia y migración
    de datos transfronterizos     ante situaciones de normalidad y emergencia.
  • Medidas de seguridad técnicas, físicas y
    organizativas que se implementarán     para la protección de los datos, además de las
    medidas de seguridad que se implementarán para satisfacer su disponibilidad,
    integridad y confidencialidad, así como también transparencia, aislamiento,
    capacidad de intervención, portabilidad y responsabilidad.
  • Temas relacionados a la supervisión y
    monitorización por parte del cliente al proveedor de servicio para verificar
    que cumple apropiadamente con las medidas de seguridad descritas.
  • Auditorías de terceros al proveedor del
    servicio    , y al servicio contratado. También la posibilidad de facilitar al
    cliente informes, estudios y frecuencia con la que se actualizan.
  •  Notificación de violaciones de datos de carácter
    personal     o de la privacidad de la información del cliente.
  • Políticas de retención de datos del proveedor
    del servicio, condiciones para devolver los datos de carácter personal y su
    destrucción una vez el servicio haya finalizado.
  •  Políticas y procedimientos para garantizar el
    cumplimiento legal del acuerdo por parte del proveedor de servicio,
    subcontratistas y socios de negocios, así como la cooperación de cada uno de
    ellos con el cliente para el cumplimiento legal de las disposiciones de
    protección de datos.
  • Procesos para la gestión y respuesta de peticiones
    de revelación de datos     de carácter personal por parte de autoridades.
  • Compensaciones en caso de que el proveedor de
    servicio, subcontratistas y socios de negocios incumplieran las obligaciones
    descritas en el acuerdo.
  • Datos de contacto y procedimiento para preguntas
    y reclamaciones     que el proveedor del servicio o subcontratistas pudieran
    recibir por parte del cliente.
  • Alcance de las pólizas de ciberseguros del
    proveedor de servicio de Cloud Computing incluyendo seguros relativos a fallos
    de seguridad    .

Este modelo busca contribuir a la
generación de confianza y transparencia en la prestación de este tipo de
servicios. Pare ello, la Cloud Security Alliance se ha basado en la normativa
europea en materia de protección de datos en vigor, además de tener en cuenta
las buenas prácticas y recomendaciones de distintas autoridades de protección
de datos como el Grupo Europeo de Protección de Datos del Artículo 29 y la Agencia
Española de Protección de Datos.

De esta manera, el Acuerdo de Nivel de Privacidad puede ser
considerado como una herramienta para reducir las barreras u obstáculos
existentes entre clientes y proveedores a la hora de la adquisición de este tipo
de servicios.

Umberto Schiavo
umberto.schiavo@11paths.com
ElevenPaths
ElevenPaths

Somos el equipo de ciberseguridad de Telefónica Tech, el holding de empresas que agrupa los negocios digitales de ciberseguridad, cloud, IoT y Big Data.

Te puede interesar

Comentarios

  1. Los servicios y cloud services se han situado como un elemento principal en el proceso de transformación IT de las empresas. la mayoria de compañias estudian las diferents alternativas de cloud computing, almacenamiento en la nube u otro cloud service bien sea privado, público o híbrido, además de la adopción de los nuevos modelos Service, para dar una respuesta felible y óptima en coste a las cada vez más exigentes demandas de los negocios.

    Responder

Deja una respuesta

Tu dirección de correo electrónico no será publicada.