Introducción
Clientes y Proveedor de servicios en la nube (CSP) Compartir la responsabilidad de la seguridad y el cumplimiento normativo. Por lo tanto, la organización tendría la libertad de diseñar sus propias necesidades de seguridad y cumplimiento normativo, según los servicios que utilice del CSP y los servicios que pretenda obtener. El CSP tiene la responsabilidad de proporcionar servicios de forma segura y de garantizar la seguridad física de la nube.
Sin embargo, si un cliente opta por el software como servicio, el CSP garantiza el cumplimiento normativo. Aun así, la organización debe verificar si cumple con las regulaciones y los niveles de cumplimiento para lograrlo. No todos los servicios en la nube (como las diferentes formas de bases de datos) son iguales. El CSP y el cliente deben acordar políticas y procedimientos para todos los requisitos de seguridad y la responsabilidad operativa.
Profundicemos en el cumplimiento y las regulaciones particulares que se mantienen dentro de la industria.
PCI DSS en la nube
Estándares de seguridad de datos de la industria de tarjetas de pago (PCI DSS) PCI DSS es un conjunto de estándares de seguridad creados en 2004 para proteger las transacciones con tarjetas de crédito y débito contra el robo de datos y el fraude. PCI DSS es un conjunto de normas de cumplimiento, un requisito para cualquier empresa.
Supongamos que los datos de tarjetas de pago se almacenan, procesan o transmiten a un entorno en la nube. En ese caso, PCI DSS se aplicará a dicho entorno e implicará la validación de la infraestructura del CSP y el uso que el cliente hace de dicho entorno.
| Requisito PCI DSS | Asignación de responsabilidades para la gestión de los controles | ||||||
|---|---|---|---|---|---|---|---|
| IaaS | PaaS | SaaS | |||||
| Instalar y mantener una configuración de firewall para proteger los datos del titular de la tarjeta | Cliente y CSP | Cliente y CSP | CSP | ||||
| No utilice los valores predeterminados proporcionados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad | Cliente y CSP | Cliente y CSP | CSP | ||||
| Proteja los datos almacenados del titular de la tarjeta | Cliente y CSP | Cliente y CSP | CSP | ||||
| Cifrar la transmisión de datos del titular de la tarjeta a través de una red pública abierta | Cliente | Cliente y CSP | CSP | ||||
| Utilice y actualice periódicamente software o programas antivirus | Cliente | Cliente y CSP | CSP | ||||
| Desarrollar y mantener sistemas y aplicaciones seguras. | Cliente y CSP | Cliente y CSP | Cliente y CSP | ||||
| Restringir el acceso a los datos de los titulares de tarjetas según las necesidades empresariales | Cliente y CSP | Cliente y CSP | Cliente y CSP | ||||
| Asigne una identificación única a cada persona con acceso a la computadora | Cliente y CSP | Cliente y CSP | Cliente y CSP | ||||
| Restringir el acceso físico a los datos del titular de la tarjeta | CSP | CSP | CSP | ||||
| Rastree y controle todos los accesos a los recursos de la red y los datos del titular de la tarjeta | Cliente y CSP | Cliente y CSP | CSP | ||||
| Pruebe periódicamente los sistemas y procesos de seguridad. | Cliente y CSP | Cliente y CSP | CSP | ||||
| Mantener una política que aborde la seguridad de la información para todo el personal. | Cliente y CSP | Cliente y CSP | Cliente y CSP | ||||
GDPR
El Reglamento General de Protección de Datos (RGPD) es el núcleo de la legislación europea sobre privacidad digital. «El futuro digital de Europa solo puede construirse sobre la confianza. Con unas normas comunes sólidas de protección de datos, las personas pueden tener la seguridad de que tienen el control de su información personal», declaró Andrus Ansip, vicepresidente del Mercado Único Digital, durante el acuerdo sobre las reformas en diciembre de 2015.
El RGPD se aplica a todas las empresas que recopilan y procesan datos de residentes de la UE. Las empresas no pertenecientes a la UE deberán designar un representante conforme al RGPD y serán responsables de todas las multas y sanciones. Los requisitos esenciales del RGPD son:
Tratamiento lícito, justo y transparente
Limitación de finalidad, datos y almacenamiento
Recopile solo la información necesaria y deseche cualquier información personal una vez completado el procesamiento
Derechos del interesado
Un cliente puede preguntar qué datos tiene una organización sobre él y el uso previsto de dichos datos.
Consentimiento
Las organizaciones deben solicitar el consentimiento del cliente si se procesan datos personales para fines distintos a los legítimos. El cliente también puede revocar su consentimiento en cualquier momento.
Violaciones de datos personales
Dependiendo de la gravedad y la normativa, el cliente deberá ser informado dentro de las 72 horas siguientes a la identificación de la infracción.
Privacidad por diseño
Las organizaciones deben incorporar mecanismos organizativos y técnicos para proteger los datos personales en el diseño de nuevos sistemas y procesos.
Evaluación de impacto de protección de datos
Se debe realizar una evaluación de impacto de la protección de datos al iniciar un nuevo proyecto, cambio o producto.
Transferencias de datos
Las organizaciones deben garantizar que los datos personales estén protegidos y que se respeten los requisitos del RGPD, incluso si lo hace un tercero.
Delegado de Protección de Datos
Cuando en una organización se realice un tratamiento significativo de datos personales, ésta deberá asignar un Delegado de Protección de Datos.
Concienciación y formación
Las organizaciones deben crear conciencia entre los empleados sobre los requisitos cruciales del RGPD
Para lograr el RGPD en la nube, debemos tomar estas medidas adicionales
- Las organizaciones deben conocer la ubicación donde CSP almacena y procesa los datos
- Las organizaciones deben saber qué CSP y aplicaciones en la nube cumplen con sus estándares de seguridad. Deben tomar las medidas de seguridad adecuadas para proteger los datos personales contra pérdidas, alteraciones y procesamiento no autorizado.
- Las organizaciones deben tener un acuerdo de procesamiento de datos con el CSP y las aplicaciones en la nube que utilizarán.
- Las organizaciones sólo deben recopilar los datos necesarios y deben limitar aún más el procesamiento de datos personales.
- Las organizaciones deben garantizar que se respete el acuerdo de procesamiento de datos y que los datos personales no se utilicen para otros fines por parte del CSP o las aplicaciones en la nube.
- Las organizaciones deberían poder borrar datos a voluntad de todas las fuentes de datos en CSP.
Conclusión
Las regulaciones y el cumplimiento normativo dependen del país en el que operan las organizaciones. Es fundamental investigar a los CSP y las regulaciones y el cumplimiento normativo que siguen. Puede encontrar más información sobre los CSP en sus respectivos sitios web:
Si una organización incumple la normativa vigente en el país o región, podría enfrentarse a multas y perder su capacidad para operar en ese país.
