Debido a que cada vez es más común el uso de sistemas de Cloud Computing para almacenar datos cada vez más importantes, debemos analizar bien las condiciones que nos ofrece el prestador de servicios con la finalidad de garantizar la seguridad de la información que añadimos a dichos sistemas.
VENTAJAS DE LOS SISTEMAS CLOUD COMPUTING
[bulletlist]
- Permite optimizar el coste y la asignación de los recursos.
- Evita o reduce inversiones en infraestructura.
- Uso bajo demanda.
[/bulletlist]
RIESGOS DE LOS SISTEMAS CLOUD COMPUTING
[bulletlist]
- Falta de transparenica: Debemos conocer el Qué, Quien, Cómo y Donde se lleva a cabo el tratamiento de datos.
- Falta de control: Ausencia de control efectivo a la hora de definir los elementos sustantivos del tratamiento en lo que hacer referencia a salvaguardas técnicas y organizativas.
[/bulletlist]
Localización de los datos y la legislación aplicable.
-
La localización de los datos tiene importancia porque las garantías exigibles para su protección son distintas según los países en que se encuentren.
- Los países del Espacio Económico Europeo ofrecen garantías suficientes y no se considera legalmente que exista una transferencia internacional de datos. El Espacio Económico Euro- peo está constituido por los países de la Unión Europea e Islandia, Liechtenstein y Noruega.
- Si los datos están localizados en países que no pertenecen al Espacio Económico Europeo habría una transferencia internacional de datos, en cuyo caso, y dependiendo del país en que se encuentren, deberán proporcionarse garantías jurídicas adecuadas.
Es importante señalar que la localización de los datos no exime de responsabilidad frente a la LOPD al cliente de los datos. Es decir, en ningún caso se desplaza la responsabilidad de la legislación aplicable en cuanto a protección de datos al proveedor del servicio.
Medidas de seguridad exigibles
-
Las medidas de seguridad son indispensables para garantizar la integridad de los datos personales, evitar accesos no autorizados y recuperar la información en caso de que se produzcan incidencias de seguridad.
- El nivel de seguridad exigible depende de la mayor o menor sensibilidad de los datos personales.
- Asimismo, el acceso a la información a través de redes de comunicaciones debe contemplar un nivel de medidas de seguridad equivalente al de los accesos en modo local.
-
Pregunte al proveedor de cloud computing sobre los niveles de seguridad que le ofrece y garantiza.
COMO GARANTIZAR MEDIDAS DE SEGURIDAD
-
Como cliente debe tener la opción de comprobar las medidas de seguridad, incluidos los registros que permiten conocer quién ha accedido a los datos de los que es responsable.
- El proveedor de cloud computing le acredita que dispone de una certificación de seguridad adecuada.
- Puede acordarse que un tercero independiente audite la seguridad. En este caso, debe conocerse la entidad auditora y los estándares reconocidos que aplicará.
- Solicite información al proveedor de cloud sobre cómo se auditarán las medidas de seguridad.
- El cliente debe ser informado diligentemente por el proveedor de cloud sobre las incidencias de seguridad que afecten a los datos de los que el propio cliente es responsable, así como de las medidas adoptadas para resolverlas o de las medidas que el cliente ha de tomar para evitar los daños que puedan producirse (p. ej. informar a sus propios clientes sobre cómo proteger su información personal).
- El cifrado de los datos personales es una medida que debe valorarse positivamente. Solicite información al proveedor de cloud sobre el cifrado de los datos.
Fuente: Guía para clientes de servicios Cloud Computing de la AEPD