Actualidad

10 claves para elegir al proveedor cloud para cumplir con RGPD

proveedor_cloud_broker

El cumplimiento del nuevo reglamento de protección de datos (RGPD) ha puesto las pilas a las empresas a la hora de proteger la información que gestionan día a día. En esta ardua tarea, la figura del proveedor cloud desempeña un papel clave por su contribución al cumplimiento normativo.

RGPD ha supuesto un antes y un después en el tratamiento de los datos y, en esa responsabilidad de las organizaciones en la gestión de los mismos, el proveedor de servicios cloud elegido cobra una mayor relevancia.
Así lo ha puesto de manifiesto el abogado Tomás Serna durante la pasada edición de OpenExpo Europe, haciendo especial hincapié en la responsabilidad que tenemos en la elección del partner adecuado.

En este sentido, y dada la responsabilidad que tenemos sobre el tratamiento de los datos, y lo que el proveedor cloud también haga con ellos, Serna detalla diez aspectos clave a tener en cuenta a la hora de elegir un “proveedor serio”.

1. Las relaciones contractuales entre empresas y proveedores de servicios cloud deben ser transparentes.

El proveedor cloud elegido deberá comunicar al responsable de la empresa que le contrata si subcontrata a otro proveedor y hacerle conocedor de las obligaciones correspondientes conforme al RGPD.

2. Formalizar un compromiso de confidencialidad.

Tanto los profesionales de administración como de operación de sistemas deben disponer de la formación necesaria para cumplir con la gestión de los datos y cumplir con los procedimientos que contempla el nuevo RGPD. Asimismo, debe mantenerse una relación actualizada de los usuarios con acceso a la gestión de esos datos que deben implantar mecanismos para garantizar su confidencialidad y tener una lista del personal autorizado para conceder, alterar o anular el acceso a los mismos.

3. Garantizar que solo accede al CPD el personal autorizado.

Además de disponer de un circuito cerrado de televisión, climatización y otros sistemas de protección en los data centers, el proveedor cloud debe contar con medidas de seguridad física como el control de acceso, vigilancia 24×7 y acceso biométrico para garantizar que únicamente accede a las mismas el personal autorizado.

4. Medidas de seguridad.

En función de los servicios, implementar medidas de seguridad concretas como la seudonimización y el cifrado para garantizar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios.

5. Copias de seguridad y restauración.

En el caso de que el servicio lo incluya, el proveedor cloud debe realizar copias de seguridad para restaurar la disponibilidad y el acceso a los datos personales de forma rápida al producirse algún incidente físico o técnico. El modelo de backup como servicio contempla una cuota y una planificación, pero el cliente siempre tendrá el poder de establecer la política de copias de seguridad, indicando los ficheros o directorios que se deben incluir en estas copias, y pedir las restauraciones que crea convenientes.

seguridad_cloud_empresas

6. Revisiones.

Realizar tareas de verificación, evaluación y valoración de las medidas de seguridad, de forma regular e idealmente en el marco de un Sistema de Gestión de Seguridad.

7. Notificar al cliente las incidencias de seguridad cuando se producen lo antes posible.

El nuevo RGPD contempla la obligación de notificarlas en un plazo de 72 horas y, dependiendo del tipo de incidente y su gravedad, también hará que notificarlo a los usuarios afectados.

8. Información continua.

Teniendo en cuenta el alcance del servicio, el proveedor cloud debe asistir y ayudar al cliente en el cumplimiento de RGPD, así como informarle si tiene conocimiento de que puede estar infringiendo el reglamento.

9. Auditorías.

Debe poner a disposición del cliente toda la información necesaria para demostrar el cumplimiento, en auditorías e inspecciones. Las autoridades competentes comprobarán en sus auditorías si se han tenido en cuenta la privacidad y protección de datos en la selección de proveedores.

10. Debe eliminar o devolver los datos al finalizar el contrato.

Los datos siempre pertenecen al cliente por lo que, una vez terminado el contrato de servicio, no puede quedarse con los datos.

Artículo AnteriorSiguiente Artículo
Periodista especializada en tecnología e innovación con más de dos décadas de experiencia cubriendo la información del canal TI