Your SlideShare is downloading. ×
Ini c i a ti va c oord i na da y pat r o ci n ada po r :
C loud Co mp li a nce ReportCA P Í T U LO E S PA Ñ O LD E C LO U D S E CU R I T Y A L L I ANCEVersión 1 - mayo 2011Título:...
S o b re C S A - E S :Con 91 miembros fundadores, representativos de los distintos actores de la industria del Cloud Compu...
Cloud Compliance Report         Capítulo Español de Cloud Security Alliance                     Índice1.    Resumen ejecut...
Cloud Compliance Report         Capítulo Español de Cloud Security Alliance6.    Sistemas de Gestión de la Seguridad de la...
Cloud Compliance Report        Capítulo Español de Cloud Security Alliance9.    Auditoría de entornos de computación en la...
Cloud Compliance Report          Capítulo Español de Cloud Security Alliance           Resumen ejecutivoEl cumplimiento no...
Cloud Compliance Report          Capítulo Español de Cloud Security Allianceque la computación en la nube podría considera...
Cloud Compliance Report          Capítulo Español de Cloud Security Alliance                    Introducción y justificaci...
Cloud Compliance Report          Capítulo Español de Cloud Security Alliance                    Contenido del documentoPar...
Cloud Compliance Report           Capítulo Español de Cloud Security AllianceLa estructura resultante es la que puede apre...
Cloud Compliance Report         Capítulo Español de Cloud Security Alliance       • Finalmente, tras el desarrollo de cada...
Cloud Compliance Report            Capítulo Español de Cloud Security Alliance                         Cumplimiento legisl...
Cloud Compliance Report          Capítulo Español de Cloud Security AllianceTampoco conviene olvidar que es casi imposible...
Cloud Compliance Report             Capítulo Español de Cloud Security Alliance            1.   Información.            2....
Cloud Compliance Report           Capítulo Español de Cloud Security AllianceAl igual que el modelo estadounidense, existe...
Cloud Compliance Report          Capítulo Español de Cloud Security AllianceEste segundo apartado donde se explica la estr...
Cloud Compliance Report                Capítulo Español de Cloud Security Alliance4.3 Legislación aplicable34.3.1 Descripc...
Cloud Compliance Report              Capítulo Español de Cloud Security Alliancegados de tratamiento de datos establecidos...
Cloud Compliance Report               Capítulo Español de Cloud Security Alliancede la Ley Orgánica 15/1999, de 13 de dici...
Cloud Compliance Report           Capítulo Español de Cloud Security AllianceDentro de la normativa de protección de datos...
Cloud Compliance Report               Capítulo Español de Cloud Security Allianceque se establecen en dicho precepto y que...
Cloud Compliance Report             Capítulo Español de Cloud Security Alliancenal, la ley no descarta la legitimidad de e...
Cloud Compliance Report             Capítulo Español de Cloud Security Alliancea datos personales de los ficheros de los a...
Cloud Compliance Report           Capítulo Español de Cloud Security Alliance4.4.3.1 Empresa proveedoraLas responsabilidad...
Cloud Compliance Report               Capítulo Español de Cloud Security Alliance4.4.3.2 Empresa clienteTodo cliente, resp...
Cloud Compliance Report            Capítulo Español de Cloud Security Alliance4.4.3.3 UsuariosEn el caso de los usuarios, ...
Cloud Compliance Report               Capítulo Español de Cloud Security Allianceha alcanzado el nivel de control de acces...
Cloud Compliance Report         Capítulo Español de Cloud Security Allianceterceros a los que se hayan cedido los datos pa...
Cloud Compliance Report              Capítulo Español de Cloud Security Alliance	            • Platform as a Service (PaaS...
Cloud Compliance Report          Capítulo Español de Cloud Security AllianceSon especialmente sensibles las trasferencias ...
Cloud Compliance Report              Capítulo Español de Cloud Security AlliancePor tanto, se contemplan los movimientos t...
Cloud Compliance Report             Capítulo Español de Cloud Security Alliance                     o Movimientos con part...
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Upcoming SlideShare
Loading in...5
×

Cloud compliance report_csa-es_v.1.0

1,239

Published on

Co-Autores de Cloud Compliance Report.
- Privacidad y cumplimiento normativo.
- Sistemas de Gestión de Seguridad de la Información y gestión de riesgos.
- Contratación, evidencias electrónicas y auditoria.

Derechos reservados CSA-ES y ISMS Forum Spain.

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,239
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
23
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Transcript of "Cloud compliance report_csa-es_v.1.0"

  1. 1. Ini c i a ti va c oord i na da y pat r o ci n ada po r :
  2. 2. C loud Co mp li a nce ReportCA P Í T U LO E S PA Ñ O LD E C LO U D S E CU R I T Y A L L I ANCEVersión 1 - mayo 2011Título:Cloud Compliance ReportCopyright y derechos:CSA- ES (Cloud Security Alliance- España) - ISMS Forum Spain.Todos los derechos de esta Obra están reservados a CSA-ES (Cloud Security Alliance-España) y a ISMS Forum Spain.Los titulares reconocen el derecho a utilizar la Obra en el ámbito de la propia actividad profesional con las siguientescondiciones:a) Que se reconozca la propiedad de la Obra indicando expresamente los titulares del Copyright.b) No se utilice con fines comerciales.c) No se creen obras derivadas por alteración, trasformación y/o desarrollo de esta Obra.- Los titulares del Copyright no garantizan que la Obra esté ausente de errores. En los límites de lo posible se procederá a corregir en las ediciones sucesivas los errores señalados.- El contenido de la Obra no constituye un asesoramiento de tipo profesional y/o legal.- No se garantiza que el contenido de la Obra sea completo, preciso y/o actualizado.- Eventuales denominaciones de productos y/o empresas y/o marcas y/o signos distintivos citados en la Obra son de propiedad exclusiva de los titulares correspondientes.Más información acerca de CSA-ES se puede consultar a través de su página oficial:www.cloudsecurityalliance.eswww.ismsforum.es/csawww.cloudsecurityalliance.org
  3. 3. S o b re C S A - E S :Con 91 miembros fundadores, representativos de los distintos actores de la industria del Cloud Computing enEspaña, nació en mayo de 2010 el capítulo Español de Cloud Security Alliance: CSA-ES, impulsadopor ISMS Forum Spain y Barcelona Digital. CSA es la organización internacional de referencia en la que exper-tos de algo nivel debaten y promueven el uso de mejores prácticas para garantizar la seguridad y privacidaden el entorno del Cloud Computing. Por su parte, el capítulo español ya cuenta con 200 miembros, siendo suámbito de interés el “Compliance en la Nube”. En este sentido existen tres grupos de trabajo específicos, comoson: Privacidad y Cumplimiento Normativo en la Nube; Sistemas de Gestión de Seguridad de la Información, yGestión de Riesgos en la Nube; y Contratación, Evidencias Electrónicas y Auditoría en la Nube. Los profesionalesque conforman estos grupos han trabajado en este primer Report español en materia de Cloud Compliance.La estructura de CSA-ES consta de: Junta Directiva Cargo en la Junta Directiva Nombre Cargo, empresa de CSA-ES Presidente - Comité Luis Buezo Bueno Director EMEA IT Assurance, HP Technology Services Operativo Director de Riesgos Tecnológicos y Seguridad Informática de Vicepresidente - Comité Jesús Milán Lobo Bankinter Operativo Jesús Luna García Investigador, Technische Universität Darmstadt (Alemania) Vocal - Comité Operativo Casimiro Juanes Director Regional de Seguridad RMED de Ericsson Vocal - Comité Operativo Nathaly Rey Directora General de ISMS Forum Spain Vocal - Comité Operativo Gianluca D´Antonio Chief Information Security Officer (CISO) del Grupo FCC Vocal Elena Maestre Socio de Riesgos Tecnológicos de PricewaterhouseCoopers Auditores S.L. Vocal Ramón Miralles Coordinador de Auditoria y Seguridad de la Información de la Vocal López Autoridad Catalana de Protección de Datos Carlos Alberto Sáiz Socio responsable del Área de GRC Governance, Risk y Compliance Vocal Peña de Ecija Profesor Titular de Universidad. Dpto. Ingeniería Telemática en la E.T.S.I. Víctor A. Villagrá Vocal Telecomunicación de la Universidad Politécnica de Madrid (UPM) Consejo Asesor Nombre Cargo, empresa Pau Contreras Director de Innovación y Desarrollo de Negocio de Oracle Ibérica Antoni Felguera R+D Security Manager de Barcelona Digital Technology Centre Marcos Gómez Hidalgo Subdirector de Programas de INTECO Olof Sandstrom Director General de Operaciones de Arsys Los líderes de los Grupos de Trabajo Nombre Cargo, empresa Grupo de Trabajo Miguel Ángel Ballesteros Auditor en CEPSA Privacidad y Cumplimiento Normativo en la Nube Bastellesteros Managing Partner en n+1 Intelligence Sistemas de Gestión de Seguridad de la Antonio Ramos & Research Información, y Gestión de Riesgos en la Nube Security R&D Business Manager en Contratación, Evidencias Electrónicas y Auditoria María Luisa Rodríguez Barcelona, Digital Centre Tecnològic en la Nube
  4. 4. Cloud Compliance Report Capítulo Español de Cloud Security Alliance Índice1. Resumen ejecutivo 92. Introducción y justificación del estudio 123. Contenido del documento 144. Cumplimiento legislativo en materia de Privacidad 18 4.1 Introducción 18 4.2 Contenido del capítulo 21 4.3 Legislación aplicable 23 4.4 Encargado de tratamiento 25 4.5 Medidas de seguridad 32 4.6 Transferencias Internacionales 36 4.7 Ejercicio de derechos 42 4.8 Autoridades de control 46 4.9 Comunicación de datos a otras autoridades 51 4.10 Conclusiones 545. Cumplimiento con otras legislaciones 58 5.1 Introducción 58 5.2 Contenido del capítulo 58 5.3 Anteproyecto de Ley de modificación de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones 59 5.4 Ley 11/2007, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos 60 5.5 Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico 60 5.6 Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal 62 5.7 Aspectos Jurídicos Laborales 67 0. Índice i 5
  5. 5. Cloud Compliance Report Capítulo Español de Cloud Security Alliance6. Sistemas de Gestión de la Seguridad de la Información en la nube 70 6.1 Introducción 70 6.2 Contenido del capítulo 70 6.3 Principios generales de despliegue de un SGSI 71 6.4 Fase I. Definición y preparación del SGSI 72 6.5 Fase II. Implantación y operación del SGSI 81 6.6 Fase III. Seguimiento y mejora del SGSI 83 6.7 Conclusiones 857. Efectos de la computación en la nube sobre la contratación de servicios TIC 88 7.1 Introducción 88 7.2 Contenido 90 7.3 Mecanismos de resolución de conflictos 91 7.4 Confidencialidad 91 7.5 Propiedad Intelectual 92 7.6 Responsabilidad 93 7.7 Resolución anticipada 93 7.8 Privacidad y protección de datos 94 7.9 Ley aplicable y jurisdicción 96 7.10 Auditabilidad 97 7.11 Seguridad 99 7.12 Acuerdos de Nivel de Servicio (ANS) 101 7.13 Recomendaciones 1028. La obtención de evidencias digitales en la nube 105 8.1 Introducción 105 8.2 Contenido del capítulo 105 8.3 La problemática 106 8.4 Las “amenazas principales” y la prueba electrónica 108 8.5 Recomendaciones 111 0. Índice 6
  6. 6. Cloud Compliance Report Capítulo Español de Cloud Security Alliance9. Auditoría de entornos de computación en la nube 113 9.1 Introducción 113 9.2 Contenido del capítulo 114 9.3 Metodologías y tecnologías de auditoría. 115 9.4 Recomendaciones 11710. Glosario 12011. Referencias 12312. Anexos 125 Anexo I. Amenazas asociadas a tecnologías específicas 125 Anexo II. Amenazas 127 Anexo III. La prueba electrónica en el marco legal Español 133 Anexo IV. Metodologías y tecnologías de auditoría 138 0. Índice i 7
  7. 7. Cloud Compliance Report Capítulo Español de Cloud Security Alliance Resumen ejecutivoEl cumplimiento normativo es uno de los aspectos mencionados ineludiblemente por cualquier estudio rela-tivo a la implantación de modelos de computación en la nube. Esta circunstancia, unida al hecho de quela regulación española sobre la privacidad es modélica a nivel mundial, ha hecho que el capítulo españolde la Cloud Security Alliance se haya decidido a abordar este ‘Cloud Compliance Report’.Pero el enfoque del cumplimiento normativo se ha abordado de una manera amplia, no limitado a losaspectos sobre la privacidad, sino que incluye también otras normas exigibles en España, así como, nor-mativas de carácter voluntario, como la ISO/IEC 27001:2005 sobre Sistemas de Gestión de la Seguridadde la Información (SGSI) o un análisis de los aspectos relacionados con la contratación como pieza funda-mental de la relación entre cliente y proveedor de servicios en la nube.Además de incluir todo este tipo de normas, el estudio ha ido un poco más allá e incluye también lo rela-cionado con la validación del cumplimiento, es decir, analiza la realización de auditorías y la obtenciónde evidencias digitales en entornos de computación en la nube.Finalmente, resaltar que el estudio ha tomado en consideración tanto el punto de vista del cliente como delproveedor de servicios para lo que ha sido fundamental que sus autores conformaran un grupo multidis-ciplinar y representativo de ambas perspectivas. En aquellos puntos donde es relevante, también existenreflexiones y recomendaciones por tipo de servicio (SaaS, PaaS o IaaS) y por tipo de despliegue (nubeprivada, pública, híbirida…).Uno de los principales objetivos del presente documento es aportar un enfoque metodológico que ayude aabordar las necesidades de cumplimiento dentro de la computación en la nube. Está claro que no pode-mos ver sólo los beneficios del computación en la nube y obviar sus implicaciones y riesgos, en especial,todo lo relacionado con el cumplimiento. Por otro lado, tampoco podemos recurrir sistemáticamente aargumentos de seguridad y cumplimiento para paralizar las iniciativas en la nube. Todo es cuestión debalancear, identificando qué servicios, cómo y cuándo se pueden ir implementando de manera adecuadaen los diferentes modelos de computación en la nube. La evolución hacia la nube será gradual y clara-mente los requerimientos de cumplimiento serán uno de los principales parámetros que irán marcando lavelocidad de esta evolución.En cuanto a las conclusiones más relevantes de este estudio, aunque son difíciles de resumir en tan pocoespacio, sí que es interesante resaltar que tienen un mismo hilo conductor: Aumentar la transparenciaen la relación entre cliente y proveedor de servicios de computación en la nube como elemento básico deconfianza entre las partes (en este sentido, por ejemplo, contar con un proveedor certificado es un factormuy positivo). Estas recomendaciones, en gran medida, también podrían ser de aplicación a los modelosmás tradicionales de externalización de servicios (como el housing o el hosting), lo cual es lógico, puesto 1. Resumen ejecutivo 9
  8. 8. Cloud Compliance Report Capítulo Español de Cloud Security Allianceque la computación en la nube podría considerarse como un salto cualitativo en los modelos de provisiónde servicios TIC.De este modo, nos encontramos con recomendaciones como la de que los clientes informen a los provee-dores sobre los tratamientos de datos de carácter personal que están realizando y los requisitos que sobreellos existen y que éstos, a su vez, identifiquen e informen de las localizaciones en las que realizarándichos tratamientos o de proveedores a los que ellos subcontraten parte de sus servicios, así como, que seestablezcan mecanismos de coordinación entre ambas partes para asegurar que se puede dar cumplimien-to a los derechos de los afectados de manera responsable.En cuanto a la implantación de SGSIs, también nos encontramos recomendaciones en sentido de ampliarlos canales de comunicación en materia, por ejemplo, de valoración de riesgos, de incidencias, de va-riación de los niveles de riesgo, así como de coordinación (como, por ejemplo, en materia de definiciónde roles y responsabilidades, respuesta a incidentes o realización de tareas de seguimiento y auditoría),mecanismos éstos especialmente relevantes en el caso de SGSIs “encapsulados”. En este punto, se incluyeuna reflexión especial en relación a los alcances, en el sentido de que deben ser significativos para losservicios prestados en la nube.En relación a la contratación de servicios en la nube, las recomendaciones también tienen la misma orien-tación, encontrándonos con referencias a los Acuerdos de Nivel de Servicio como herramientas funda-mentales para definir y monitorizar el servicio, pero también con aspectos como determinar la propiedadintelectual de los distintos elementos de la provisión del servicio, establecer mecanismos de resolución deconflictos o clarificar desde el inicio las leyes aplicables y la jurisdicción aplicable.Para finalizar, en cuanto a los aspectos relacionados con la validación del cumplimiento (evidencias y au-ditoría), las recomendaciones hacen foco en los aspectos de coordinación (quién debe encargarse de quétarea en aspectos como elaboración de métricas, realización de revisiones, etc.), así como en el estableci-miento de un entorno confiable mediante la implantación de mecanismos como procedimientos de gestiónde evidencias, medidas de protección de los registros de auditoría, planificación de auditorías, etc. 1. Resumen ejecutivo 10
  9. 9. Cloud Compliance Report Capítulo Español de Cloud Security Alliance Introducción y justificación del estudioEl pasado 21 de Mayo de 2010, ISMS Forum Spain y Barcelona Digital, centro tecnológico de I+D+i es-pecializado en seguridad, conjuntamente con la Cloud Security Alliance (CSA), anunciaron la creación delcapítulo español del CSA. Como es ya conocido, CSA es la organización internacional de referencia en laque expertos de alto nivel debaten y promueven el uso de mejores prácticas para garantizar la seguridady privacidad en el entorno de computación en la nube.El capítulo español, que se denomina CSA-ES, lo constituyeron inicialmente 91 miembros. Se trató delprimer capítulo de ámbito nacional del CSA y se fundó con la misión de avanzar en el desarrollo segurode la tecnología cloud computing (computación en la nube) en España, constituyendo un foro de discusióny aglutinamiento de los profesionales de seguridad en éste ámbito de trabajo. Los principales objetivos deCSA-ES son promover un nivel de entendimiento entre consumidores y proveedores de cloud, potenciar eldesarrollo de guías y buenas prácticas independientes, así como lanzar campañas de concienciación ysensibilización sobre el uso adecuado y seguro de la nube.Cada capítulo regional selecciona un ámbito específico de interés en relación con la computación enla nube. El hecho de que la regulación española sobre la privacidad es modélica a nivel mundial, hajustificado que el CSA-ES seleccionara el área de “Compliance en la Nube”, marcándose como objetivodesarrollar el presente documento, según ratificó la Junta Directiva, una vez que la misma fue constituida.Desde la fundación de CSA-ES, se constituyeron 3 grupos de trabajo enfocados a trabajar en paralelopara el desarrollo del presente documento en las siguientes áreas: • Grupo de Trabajo 1: Privacidad y cumplimiento normativo • Grupo de Trabajo 2: Sistemas de gestión de seguridad de la información y gestión de riesgos • Grupo de Trabajo 3: Contratación, evidencias electrónicas y auditoría..CSA-ES está convencido de que este ‘Cloud Compliance Report’, sin duda alguna, aportará un gran valora la industria en virtud de que precisamente el cumplimento normativo es una de las barreras a la hora deimplantar el modelo de computación en la nube en muchas organizaciones, máxime teniendo en cuentalas rigurosas obligaciones de seguridad que vienen impuestas por la normativa de protección de datos decarácter personal, y la carencia de un nivel de entendimiento con reguladores y autoridades de control.El objetivo del Capítulo es partir de una base general robusta en materia de cumplimiento, para después,ir trabajando por sectores de interés (banca, salud, seguros, telecomunicaciones, etc.). 2. Introducción y justificación del estudio 12
  10. 10. Cloud Compliance Report Capítulo Español de Cloud Security Alliance Contenido del documentoPara abordar el estudio del cumplimiento en la nube, el capítulo español de la Cloud Security Alliancedividió el tema considerando que el cumplimiento tiene dos estadios. En primer lugar, el inventariado. Eneste primer momento, lo que afrontamos es la identificación de las normas que son de aplicación a la Or-ganización. Dentro de estas, podríamos clasificar las normas de aplicación a cualquier organización en: • Normas generales, que a su vez, podrían ser obligatorias (ordenamiento jurídico de los Estados normalmente) o voluntarias (códigos tipo o mejores prácticas). • Normas particulares, es decir, aquellas que aplican con carácter individual por aceptar los términos de un contrato o normas sectoriales.Una vez superado este estadio enunciativo, vendría la etapa de validar el cumplimiento. Este cumplimientose apoya en dos grandes ejes. Por un lado, las evidencias digitales que permiten demostrar hechos en losentornos telemáticos y que son de especial relevancia en la nube y, como no, la auditoría, como herra-mienta (que se apoya en múltiples ocasiones en evidencias digitales) para validar que una determinadaorganización, sistema o servicio “cumplen” con lo requerido por alguna de las normativas mencionadasanteriormente.Esta estructuración de contenidos se concentró generando tres grupos de trabajo: • El primer grupo de trabajo se centró en las normas generales y los resultados se encuentran en los capítulos 4 y 5. Se ha decidido tratar la privacidad en un capítulo propio, dada su especial relevancia en el contexto de la computación en la nube, y la importancia de la normativa de protección de datos de carácter personal, especialmente en el contexto Europeo. • El segundo grupo de trabajo se dedicó a las normas voluntarias, más concretamente, se concen- tró en los Sistemas de Gestión de la Seguridad de la Información en base a la norma ISO/IEC 27001:2005 dada su importancia a nivel mundial y mejor práctica generalmente aceptada y cuyo análisis se encuentra en el Capítulo 6. • Finalmente, el tercer grupo se dedicó a los aspectos restantes. A la contratación, como meca- nismo en el que se establecen los requisitos entre las partes (Capítulo 7) y, por otro lado, en lo relacionado con la verificación del cumplimiento, que se traduce en dos capítulos independien- tes: las evidencias digitales (Capítulo 8) y la auditoría (Capítulo 9). 3. Contenido del documento 14
  11. 11. Cloud Compliance Report Capítulo Español de Cloud Security AllianceLa estructura resultante es la que puede apreciarse en el gráfico adjunto (Ilustración 1).Ilustración 1. Organización del contenido del documento 4. Privacidad Obligatorias 5. Otras Generales Voluntarias 6. SGSI Normas Particulares Contratación Compliance Report 8. Evidencias digitales Validación 9. AuditoríaPor otra parte, aunque los aspectos cubiertos por este documento son algunos muy diferentes, se ha pro-curado mantener una misma estructura en todos los capítulos de forma que sea fácil para el lector seguirla argumentación a lo largo de todo el estudio pero que también puedan ser consultados de manera indi-vidual sin que sea necesario leer todo el informe para sacar provecho de su lectura. De esta forma, todoslos capítulos tienen los siguientes apartados: • Una introducción inicial que ayuda a centrar el tema en cuestión, explica por qué se aborda y su relación con la computación en la nube. • Un apartado que explica el contenido del capítulo de manera específica para que el lector sepa dónde puede encontrar determinados aspectos que le interesen en mayor medida. 3. Contenido del documento 15
  12. 12. Cloud Compliance Report Capítulo Español de Cloud Security Alliance • Finalmente, tras el desarrollo de cada aspecto se incluye un apartado final de conclusiones o recomendaciones a modo de compendio final de los aspectos más relevantes del capítulo. No obstante, durante el desarrollo de cada parte del documento se van realizando recomendacio- nes relativas a la materia en estudio en cada momento, por lo que es importante, si el lector está interesado en algún tema concreto que lea el capítulo completo para obtener un mayor grado de detalle.Ilustración 2. Estructura de los capítulos Introducción Conclusiones / Estructura Contenido Recomendaciones capítulos Desarrollo 3. Contenido del documento 16
  13. 13. Cloud Compliance Report Capítulo Español de Cloud Security Alliance Cumplimiento legislativo en materia de Privacidad4.1 IntroducciónActualmente existen diversas definiciones y características de computación en la nube, por lo que no esfácil dar una definición clara a lo que podríamos describir como un modelo para la prestación de serviciosy recursos (redes, servidores, capacidad de almacenamiento, aplicaciones y servicios) bajo demanda através de la red, caracterizado por su adaptabilidad, flexibilidad, escalabilidad, rapidez, optimización yeficiencia.Estos componentes pueden orquestarse, abastecerse, implementarse y desmantelarse rápidamente y esca-larse en función de las dimensiones necesarias para ofrecer los servicios solicitados.También puede definirse como que el modelo en la nube es, en la actualidad, una oferta de acceso inme-diato y a un coste asequible (y a veces gratuito) a las tecnologías de la información cuya infraestructura,hardware, software y personal cualificado, se pone al alcance de empresas y particulares para ofrecerdiversos productos y servicios.Siguiendo con la definición que ofrece la Cloud Security Alliance (en adelante, CSA) de la computación enla nube, las características esenciales de este modelo son: autoservicio a la carta, amplio acceso a la red,reservas de recursos en común, rapidez y elasticidad y servicio supervisado [CSA, 2009].De acuerdo con el documento de CSA “Top Threats to Cloud Computing v1.0” [CSA, marzo 2010], y dadala importancia del fenómeno de la computación en la nube, como demuestra la publicación de otros infor-mes similares como el de INTECO [Inteco, 2011], el del World Privacy Forum [WPF, 2009], etc., se puedenenumerar una serie de amenazas a tener en cuenta a la hora de desplegar un modelo de servicio en lanube como serían: Interfaces y APIs1 poco seguros, problemas derivados de las tecnologías compartidas,pérdida o fuga de información, secuestro de sesión, riesgos por desconocimiento, migración de servicioshacia otro proveedor, amenaza interna y mal uso o abuso del servicio. A estos riesgos asociados a estemodelo de computación, que además destacan por su falta de históricos, habría que añadir otros comoson los accesos de usuarios con privilegios, la localización y el aislamiento de los datos, la recuperación, elsoporte investigativo, la viabilidad a largo plazo, la falta de control de la gestión y seguridad de los datos,las cesiones no consentidas o las transferencias internacionales no autorizadas, en definitiva, la privacidadde los datos en la nube y el cumplimiento normativo o legal.Conviene recordar que aspectos como las transferencias internacionales, las subcontrataciones o las dis-tintas jurisdicciones de las diferentes autoridades de control son difíciles de resolver en este modelo decomputación, según entendemos la normativa actualmente.1 Application Programming Interface 4. Cumplimiento legislativo en materia de Privacidad 18
  14. 14. Cloud Compliance Report Capítulo Español de Cloud Security AllianceTampoco conviene olvidar que es casi imposible cumplir con el precepto de verificación del cumplimientodel encargado del tratamiento por el responsable del fichero dada la diferencia de tamaño y capacidadnegociadora de las organizaciones que a veces están implicadas en el proceso.A su vez, existen muchos retos desde el punto de vista del cumplimiento normativo y la privacidad quetratan de dar una respuesta adecuada a los riesgos correspondientes enumerados en el párrafo anterior.Este capítulo viene a estudiar los diferentes aspectos contemplados anteriormente con objeto de poderayudar al lector a establecer pautas para abordar los retos que conlleva el modelo de computación enla nube desde la perspectiva española. Las razones para ello son, principalmente dos: La primera y másevidente es que constituye la aportación del capítulo español de la Cloud Security Alliance. La segunda,obedece a que España cuenta en la actualidad con la normativa más rigurosa en materia de protección dedatos personales. España ha sido el país europeo que ha desarrollado con mayor intensidad, los principiosconsagrados por la Directiva 95/46/CE, que a su vez es el marco jurídico más garantista que se conoce,en materia de protección de datos. Esto permite afirmar que cualquier prestación de servicios en la nube,que cumpla con los requisitos exigidos por la normativa española, puede cubrir los requisitos exigidos porlas normativas de otros Estados.Antes de entrar a analizar la normativa española de protección de datos, conviene realizar una referenciasucinta de los marcos normativos existentes.4.1.1 Estados UnidosEn Estados Unidos, la protección de datos personales no está considerada como un derecho fundamental.Existe una política legislativa de mínimos que fomenta la autorregulación en el sector privado. Con unenfoque mercantilista, se persigue la protección de los derechos de los ciudadanos, desde la perspectivade la “protección del consumidor”.No obstante, existen desarrollos normativos verticales que buscan adaptarse al contexto específico encuanto a la naturaleza de los datos, la finalidad de su tratamiento, o la naturaleza responsable de dichotratamiento. A modo de ejemplo podemos mencionar: Electronic Communications Privacy Act de 1986,Electronic Funds Transfer Act, Telecommunications Act de 1996, Fair Credit Reporting de 1970 y ConsumerCredit Reporting Reform Act de 1996, Right to Financial Privacy Act, entre otras.En cuanto a la aplicación, son los propios titulares de los datos quienes deben velar por el cumplimientode la normativa que regula el tratamiento de sus datos, a través del ejercicio de los derechos que se lesreconocen.4.1.2 EuropaEn Europa, la protección de datos personales está considerada como un derecho fundamental. En líneacon una tradición jurídica positivista, se ha acentuado la labor legislativa con el fin de establecer unsistema garantista (de hecho, el más garantista que existe en la actualidad) en aras de asegurar una laprotección efectiva a los derechos de los ciudadanos.La Directiva 95/46/CE [Directiva, 1995] constituye el marco europeo de referencia. En esta Directivase establecen ciertos principios, que los Estados Miembros ha tenido que transponer en sus respectivosordenamientos, a saber: 4. Cumplimiento legislativo en materia de Privacidad 19
  15. 15. Cloud Compliance Report Capítulo Español de Cloud Security Alliance 1. Información. 2. Consentimiento. 3. Finalidad. 4. Calidad. 5. Seguridad. 6. Derechos de Acceso, Rectificación, Cancelación y Oposición. 7. Autoridad de Control independiente. 8. Limitación a las trasferencias internacionales de datos.El enfoque europeo ha servido también como fuente de inspiración para otras legislaciones, principalmen-te de corte continental, que han incorporado o están incorporando estos principios, evidentemente paraproteger los derechos de los ciudadanos, pero también, para favorecer el tráfico económico con los paísesmiembros de la Unión. Argentina,Chile y Colombia y México son algunos ejemplos en este sentido.4.1.3 Safe Harbor PrinciplesEl término Safe Harbor Privacy Principles, se refiere a los principios de privacidad a los que deben adhe-rirse las organizaciones estadounidenses, para poder ser importadores de datos personales provenientesde los Estados miembros de la Unión Europea.Estos principios fueron publicados en el año 2000 por el Departamento de Comercio de los Estados Uni-dos. La adhesión a ellos pretende asegurar la aplicación, por parte del importador, de unos niveles deprotección adecuados que sean equiparables a los establecidos por la Directiva.Con la adhesión, el importador se obliga a observar ciertos principios rectores en tratamiento de datospersonales, como son: 1. Notificación e información a los titulares, previos a la recogida de datos. 2. Derecho de oposición a la comunicación de datos a terceros o a los usos incompatibles con el objeto inicial de la recogida. 3. Abstención de transferencia ulterior de datos a terceros que no se hayan adherido a los prin- cipios de Safe Harbor. 4. Obligación de implementar medidas de seguridad. 5. Calidad de los datos. 6. Reconocimiento de los derechos de acceso y rectificación a los afectados. 7. Necesidad de adoptar mecanismos que brinden garantías para la aplicación de los principios.4.1.4 Marco APEC2Comparte los principios de protección de datos personales de la Directiva Europea, no obstante, presentagrandes diferencias en cuanto a la aplicación.En el modelo europeo, las autoridades de protección de datos regulan y verifican el cumplimiento dedichos principios, mientras que en el modelo APEC esto se lleva cabo, a través de mecanismos de auto-regulación verificados por organismos públicos o privados, de modo que no se garantiza que se obliguedesde el Estado.2 De las sigas en inglés de Asia-Pacific Economic Cooperation, en español, Foro de Cooperación Económica Asia-Pacífico. 4. Cumplimiento legislativo en materia de Privacidad 20
  16. 16. Cloud Compliance Report Capítulo Español de Cloud Security AllianceAl igual que el modelo estadounidense, existe un enfoque desde el punto de vista consumidor y es unmodelo ex post, en el que una autoridad pública o privada puede intervenir sólo después de que se haproducido la supuesta violación.4.1.5 Habéas DataEn los países con el modelo Hábeas Data, la protección de datos se asocia con un derecho a conocer,actualizar y a rectificar datos. Estos modelos presentan las siguientes características: • Existen mecanismos de garantía procesal o judicial. • La intervención de la autoridad es siempre ex-post, es decir, la normativa no implica cumpli- miento de obligaciones ex-ante por parte de las organizaciones. • Inexistencia de autoridades de control. • Legitimación personas que han sufrido una lesión en su intimidad por el uso abusivo de sus datos.4.1.6 Resolución de Madrid sobre Estándares Internacionales sobre Protección de Datos Personales y PrivacidadEste documento, producto de la labor conjunta de los garantes de la privacidad de casi cincuenta países,bajo coordinación de la Agencia Española de Protección de Datos, ha desembocado en un texto que tratade plasmar los múltiples enfoques que admite la protección de este derecho, integrando legislaciones delos cinco continentes.Tal y como establece la Disposición Primera del Documento, los Estándares tienen por objeto “Definir unconjunto de principios y derechos que garanticen la efectiva y uniforme protección de la privacidad a nivelinternacional, en relación con el tratamiento de datos de carácter personal; y Facilitar los flujos internacio-nales de datos de carácter personal, necesarios en un mundo globalizado”.Aunque no tiene un carácter vinculante, estos Estándares establecen un compromiso político de quienes lohan suscrito, en el sentido de servir como referencia a los Estados que en la actualidad no hayan legisladosobre la materia, y de servir como referencia para la armonización de la normativa existente, en arasde que la normativa sobre protección de datos y la privacidad no se constituya un obstáculo al comerciointernacional; facilitándose el flujo de los datos de carácter personal y la uniformidad de la misma.4.2 Contenido del capítuloEl objetivo del capítulo, por tanto, es plasmar los resultados del estudio sobre el cumplimiento normativo yprivacidad en computación en la nube tomando como base la legislación europea y haciendo referenciaa otra normativa cuando sea necesario.El informe se estructura de la siguiente forma: Un primer apartado de introducción donde se explica lamotivación del análisis, las ventajas, y los riesgos de este modelo de procesamiento. 4. Cumplimiento legislativo en materia de Privacidad 21
  17. 17. Cloud Compliance Report Capítulo Español de Cloud Security AllianceEste segundo apartado donde se explica la estructura y contenido del informe, con una breve explicacióndel contenido de cada uno de ellos.Un tercer apartado con un resumen ejecutivo donde, mediante una visión rápida, el lector se puede haceruna idea bastante aproximada del cumplimiento normativo en la computación en la nube.A continuación, el cuarto apartado, estudia con más detalle cada uno de los aspectos que se conside-ran relevantes a la hora de establecer un modelo de proceso basado en la computación en la nube.El análisis de cada uno de estos aspectos se estructura de la misma forma, una descripción general,los aspectos mas relevantes de la situación analizada en base a los modelos de servicio y desplieguede la nube, la legislación que le aplica y, finalmente, las recomendaciones que se proponen desdeel punto de vista de proveedor o cliente del servicio sin olvidar, cuando sea necesario, el punto devista de las personas afectadas. En el apartado de las medidas de seguridad se sigue una estructuradiferente, estudiándose las diferentes medidas desde el punto de vista de la empresa proveedora y dela empresa que contrata.El primer punto empieza estudiando la legislación aplicable según el responsable del tratamiento resida enun país dentro del Espacio Económico Europeo o fuera de él.El segundo punto estudia la figura del encargado del tratamiento, como proveedor del servicio en la nube,repasando la subcontratación y otros agentes operadores de telecomunicaciones.El tercer punto se centra en las medidas de seguridad analizando los principales aspectos de las mismascomo son el documento de seguridad, el control de acceso, la gestión de incidencias, las copias de segu-ridad y las auditorías.El cuarto punto trata las transferencias internacionales, tanto desde de la situación en que no exista comu-nicación de datos a un tercero como cuando se da esta comunicación y la diferenciación de un país connivel adecuado de protección o sin nivel adecuado.El quinto punto aborda el ejercicio de los derechos por los interesados tanto en sus características comorequisitos y riesgos.El sexto punto analiza el papel de las autoridades de control en tanto a la determinación de la ju-risdicción a aplicar en el caso de una denuncia o tutela de derechos y la ejecución efectiva de lasresoluciones.El séptimo punto considera la comunicación de datos a otras autoridades bien por requerimientos de leyeso de organismos tanto desde el ámbito nacional como de otros países.La audiencia de este documento son los clientes y usuarios de los recursos ofrecidos mediante modelos decomputación en la nube y los proveedores de los mismos, sirviendo como referencia para solicitar y ofrecersoluciones en lo relativo a la privacidad de los datos en la nube, el cumplimiento normativo o legal y losmecanismos de seguridad y acuerdos necesarios para controlarlos. 4. Cumplimiento legislativo en materia de Privacidad 22
  18. 18. Cloud Compliance Report Capítulo Español de Cloud Security Alliance4.3 Legislación aplicable34.3.1 Descripción general4La normativa sobre legislación aplicable a los tratamientos de datos personales se encuentra descrita enel artículo 4 de la Directiva de Protección de Datos [Directiva 1995]. Este artículo tiene dos partes biendiferenciadas. La primera, hace referencia a la ley aplicable a responsables de tratamiento que estén esta-blecidos en un Estado miembro del Espacio Económico Europeo (EEE)5. La segunda, de manera que puederesultar sorprendente pues podría suponer un cierto grado de aplicación extraterritorial de la Directiva, aaquellos responsables que, sin estar establecidos en el EEE, utilizan medios situados en el mismo para eltratamiento de datos personales.Para el primer caso, el concepto clave para la determinación de la legislación aplicable es el de la ubica-ción del establecimiento del responsable del tratamiento en conjunción con las actividades de tratamientoque se llevan a cabo conforme al apartado 1 del artículo 4 de la Directiva, letra a).Por lo tanto, no siempre existe una única ley aplicable para todas las operaciones de un determinadoresponsable de tratamiento de datos personales: Si dicho responsable está establecido en distintos Esta-dos miembros del EEE y trata datos personales en el ámbito de las actividades de varios de ellos, a cadauno de estos tratamientos se le aplicaría un Derecho nacional diferente6, lo que nos lleva a considerar elsegundo elemento esencial para determinar la ley aplicable, para qué responsable se lleva a cabo el trata-miento. Por ejemplo, un responsable establecido en Bélgica tiene tiendas en diversos países europeos (porejemplo, Bélgica, Alemania, Portugal, Francia e Italia) pero las acciones de marketing están centralizadasen Bélgica y todos los datos de los clientes para esta finalidad se tratan en allí. En este caso, y para esetratamiento específico, independientemente del lugar en que se recojan los datos, la ley aplicable será labelga7.No obstante, esta regla tiene un corolario y es el que se desprende de la aplicación del apartado tercerodel artículo 17 de la Directiva y que se refiere a las medidas de seguridad que deben aplicar los encar-3 En este estudio no se abordará la casuística de aquellos servicios que se contratan directamente (ya sea gratuitamente o no) por los usuarios finales al proveedor de computación en la nube (ejemplos de ellos son los servicios de correo electrónico en la nube o las redes sociales) ni aquellos casos en los que el proveedor de servicios –típicamente un encargado de tratamiento en la terminología de protección de datos– se transforma también en responsable por utilizar los datos personales para finalidades propias (lícita o ilícitamente) como, por ejemplo, un proveedor de servicios IaaS que utiliza los datos confiados a su custodia para, a través de herramientas de minería de datos, establecer perfiles de hábitos de compra para su explotación o su venta a terceros.4 Para una discusión en profundidad de este asunto se puede consultar el Dictamen 8/2010, sobre Ley Aplicable, del Grupo de Trabajo del Artículo 29.5 Formado por los estados de la Unión Europea e Islandia, Noruega y Lienchtenstein6 Así, ni la nacionalidad ni el lugar de residencia de los afectados ni, incluso, la localización física de los sistemas de información donde se tratan datos personales son, en este caso, elementos relevantes para determinar el derecho aplicable a un tratamiento.7 No hay que confundir ley aplicable con jurisdicción. Podría suceder que una autoridad de control de un estado miembro tuviera jurisdicción para dictaminar sobre un determinado tratamiento de datos pero tuviera que hacerlo aplicando la ley de otro Estado miembro. En el ejemplo expuesto, en base a lo que establece el artículo 28 de la Directiva, si hubiera una reclamación relativa a una acción de marketing llevada a cabo en Francia, la autoridad competente para resolverla sería la francesa, pero debería aplicar la legislación belga. 4. Cumplimiento legislativo en materia de Privacidad 23
  19. 19. Cloud Compliance Report Capítulo Español de Cloud Security Alliancegados de tratamiento de datos establecidos en un Estado del EEE. En efecto, este artículo dispone que losencargados de tratamiento, además de estar sujetos a lo que dispone la ley del Estado en que está esta-blecido el responsable del tratamiento, también han de aplicar las medidas de seguridad establecidas porla legislación del Estado miembro en que estén establecidos y, en caso de que hubiera un conflicto entreambas, prevalecerá esta última.La segunda parte que se mencionaba al inicio de esta sección se refiere a la aplicación de las previsionesde la Directiva8 a un responsable que, aun no estando establecido en un Estado del EEE recurre “para eltratamiento de datos personales, a medios, automatizados o no, situados en el territorio de dicho Estadomiembro, salvo en caso de que dichos medios se utilicen solamente con fines de tránsito por el territorio dela Comunidad Europea”. En este caso, el responsable del tratamiento deberá designar un representanteestablecido en el territorio del Estado miembro de que se trate.Así pues, en el caso de un proveedor de servicios en la nube establecido, por ejemplo, en Estados Unidos,pero que utiliza, para determinados tratamientos de datos, servidores ubicados en un Estado del EEE, lalegislación aplicable a los mismos será la de este Estado y, de hecho, el proveedor exportará la legislacióneuropea a los tratamientos de datos personales que lleven a cabo sus clientes.4.3.2 Aspectos más relevantesEn relación con la legislación aplicable a de responsables ubicados en el EEE, el modelo de servicio ode despliegue es irrelevante ya que, en cualquier caso, la determinación de la ley aplicable tan solo de-penderá del Estado en que esté establecido el responsable del tratamiento que ha contratado los serviciosde computación en la nube y no del lugar en que se localicen los proveedores de dichos servicios o losequipos de tratamiento utilizados por los mismos.No obstante, también puede tenerse que tomar en consideración la legislación sobre seguridad de otroEstado miembro si el proveedor de servicios en la nube está establecido en dicho Estado miembro distintodel cual en el que está establecido el cliente.Para el caso en que el cliente de un servicio de computación en la nube (que será el responsable de lostratamientos de carácter personal) no esté establecido en el EEE pero su proveedor de servicios utilicemedios o equipos ubicados en un Estado miembro del EEE para prestarle los servicios, como antes se hamencionado, éste le exporta automáticamente la aplicabilidad de los requisitos de la legislación de protec-ción de datos del país de que se trate9.4.3.3 Legislación aplicableLos artículos que regulan la ley aplicable a un tratamiento de datos son el artículo 4 de la Directiva deProtección de Datos en el que se ha basado el análisis llevado a cabo en este capítulo, el artículo 2 dela Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (en adelante, LOPD) y el artículo3 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo8 En el bien entendido que lo que esta frase significa en la realidad es la aplicación de la legislación que el Estado miembro correspondiente haya aprobado al transponer la Directiva. No se tratará el caso descrito en la letra b) del apartado primero del artículo 4 por ser un caso residual y de escasa relevancia para el objeto de este estudio.9 Como se puede apreciar, en este caso no es suficiente que el proveedor de computación en la nube esté establecido en un Estado del EEE sino que utilice medios que sí estén ubicados dentro del EEE. 4. Cumplimiento legislativo en materia de Privacidad 24
  20. 20. Cloud Compliance Report Capítulo Español de Cloud Security Alliancede la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (enadelante, RLOPD)10.4.3.4 RecomendacionesDado que la legislación aplicable a una determinada operación de tratamiento de datos personales noes algo que dependa de la voluntad de ninguna de las partes vinculadas por el contrato de prestación deservicios en la nube, no hay mucho margen para realizar recomendaciones específicas. No obstante, semencionarán algunos puntos que deberán tenerse en cuenta.4.3.4.1 Empresa proveedoraLas empresas que utilicen medios situados en el territorio del EEE para prestar servicios a sus clientes de-berán ser conscientes que exportan la legislación europea a todos aquellos que no estén establecidos endicho espacio. Esto implica que las obligaciones de la legislación de protección de datos del Estado miem-bro que corresponda les resulta de aplicación y que, además, ello les obliga a nombrar un representanteen el Estado de que se trate11.Si sus clientes están establecidos en el territorio del EEE, las obligaciones relativas a protección de datos(salvo, quizás, las referentes a medidas de seguridad) serán incumbencia de dichos clientes.4.3.4.2 Empresa clienteSi es una empresa establecida en el territorio del EEE, independientemente de donde esté ubicado su proveedorde servicios en la nube o los sistemas de tratamiento de la información de dicho proveedor, ella será la respon-sable en términos de protección de datos y le será de aplicación la ley del Estado en que esté establecida.Si su proveedor está establecido en un Estado miembro diferente, deberá tener en cuenta que puede existirla necesidad de analizar los requerimientos en materia de seguridad aplicables en el Estado de estable-cimiento del proveedor y que, en todo caso, si existe alguna incompatibilidad o conflicto entre ambasnormativas, prevalece la del Estado de establecimiento del proveedor.4.4 Encargado de tratamiento4.4.1 Descripción generalEl concepto de ‘encargado de tratamiento’ se determina en función de dos condiciones básicas: Ser una entidadindependiente del responsable del tratamiento y realizar el tratamiento de datos personales por cuenta de éste12.10 De hecho, este artículo no transpone correctamente las normas sobre legislación aplicable de la Directiva, ya que dispone que la LOPD solo es de aplicación a tratamientos de datos personales llevados a cabo por responsables establecidos en España y que se produzcan en territorio español lo que, como hemos visto, no es lo que establece la Directiva. El artículo 3 del RLOPD (sin entrar a valorar si ha de prevalecer o no sobre el régimen de la LOPD) ha recogido de manera correcta el modelo de la Directiva.11 El Grupo de Trabajo del Artículo 29 reconoce en su Dictamen 8/2010 que esta previsión de la Directiva puede ocasionar problemas prácticos y económicos pero, aun así, afirma que no existe otra interpretación posible aunque aboga por una reflexión sobre este hecho en el marco de la futura revisión de la legislación europea de protección de datos.12 Dictamen 1/2010 sobre los conceptos de “responsable del tratamiento” y “encargado del tratamiento” emitido por el Grupo de Trabajo del Art. 29. Este dictamen analiza el concepto de encargado del tratamiento, cuya existencia depende de una decisión adoptada por el responsable del tratamiento, que puede decidir que los datos se traten dentro de su organización o bien delegar todas o una parte de las actividades de tratamiento en una organización externa. 4. Cumplimiento legislativo en materia de Privacidad 25
  21. 21. Cloud Compliance Report Capítulo Español de Cloud Security AllianceDentro de la normativa de protección de datos española encontramos la definición de encargado de trata-miento como “la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sóloo conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento”13.Tal como indica la Sentencia de la Audiencia Nacional de 20 de septiembre de 200214, el encargo detratamiento se ampara en la prestación de un servicio que el responsable del tratamiento recibe de unaempresa ajena a su propia organización y que le ayuda en el cumplimiento de la finalidad del tratamientode datos consentida por el afectado.Ahora bien, este tratamiento debe delimitarse, concretando el responsable el margen de actuación delencargado en su función encomendada, o se puede dejar un cierto grado de discrecionalidad sobre cómorealizar su función en base a los intereses del responsable del tratamiento.Es aquí donde la figura del encargado de tratamiento se vincula al proveedor de servicios en la nube,ya que éste presta servicios de negocio y tecnología, que permite al usuario acceder a un catálogo deservicios estandarizados de forma flexible y adaptativa, permitiendo a este proveedor que establezca losmedios técnicos y de organización más adecuados.Por lo tanto, teniendo en cuenta la normativa aplicable y las obligaciones que conlleva, el proveedor deservicios en la nube podrá determinar su responsabilidad como encargado de tratamiento en función de latipología de nube (pública, privada, comunitaria o híbrida) y del servicio que decida contratar el respon-sable de tratamiento de los datos de carácter personal, ya que en función del modelo de despliegue de losservicios en la nube (modelo SPI), las responsabilidades del proveedor serán diferentes.4.4.2 Legislación aplicable4.4.2.1 Proveedores de servicioLa regulación aplicable distingue claramente la figura entre “responsable de tratamiento” y “encargado detratamiento”, estableciendo como obligación principal la confidencialidad y seguridad de los datos15.El acceso a los datos por parte del proveedor de la nube para prestar sus servicios se condiciona, comopremisa esencial, al cumplimiento del régimen establecido por el artículo 12 de la LOPD. Este artículo esta-blece la obligación de la realización de un contrato formal entre el responsable de los datos, (cliente quecontrata el servicio en la nube) y el encargado del tratamiento (proveedor del servicio en la nube)16.El cliente que contrata un proveedor de la nube que suponga el acceso a datos de carácter personal, debetener claro los requisitos formales que establece el artículo 12 de la LOPD, ya que este artículo obliga aque el contrato “conste por escrito o en alguna otra forma que permita acreditar su celebración y conteni-do”. Además existe jurisprudencia17 que indica que, para la validez de la comunicación de los datos delartículo 12 no es suficiente la existencia de un contrato, también es necesario que detalle las condiciones13 Ver Art. 3. g.) Ley Orgánica de Protección de Datos.14 Sentencia de la AN, Sala de lo Contencioso-administrativo, Sección 1ª, 20 sep. 2002 (Rec. 150/2000).15 Ver artículos 2(d) y (e) de la Directiva 95/46/CE, artículo 3.g LOPD y artículo 5.1.i RLOPD.16 Ver artículos 16 y 17 de la Directiva 95/46/CE. Artículo12.2 LOPD y artículos 20 y 22 RLOPD.17 Sentencia de la Audiencia Nacional, Sala de los Contencioso-administrativo, sección 1ª, 16 mar. 2006 (Rec. 427/2004). 4. Cumplimiento legislativo en materia de Privacidad 26
  22. 22. Cloud Compliance Report Capítulo Español de Cloud Security Allianceque se establecen en dicho precepto y que garantice la seguridad de los datos impidiendo el acceso a losmismos de terceros18.En este contrato debe figurar el siguiente contenido: 1. Especificar y delimitar la finalidad para la que se comunican los datos (Art. 12.2 LOPD). 2. Establecer expresamente que el proveedor de la nube no puede comunicar estos datos a terce- ros, ni siquiera para su conservación (Art. 12.2 LOPD). 3. Implementar las medidas de seguridad que debe cumplir el responsable en función del tipo de datos que contenga el fichero y el nivel de seguridad aplicado (Art. 9 y 12.2 LOPD). 4. Delimitar el tiempo de ejecución del servicio. 5. Determinar de forma concreta las condiciones de devolución de los datos o destrucción de los datos una vez cumplido el servicio (Art. 12.3 LOPD y 22RLOPD). 6. Existencia de una clausula de confidencialidad, tanto al proveedor de la nube, como a sus empleados que puedan acceder a los datos. 7. Establecer la obligación del encargado, en el caso de que los interesados ejerciten sus dere- chos ARCO19 ante el mismo, de dar traslado de la solicitud al responsable. A excepción, en el caso de que exista un acuerdo entre el proveedor de la nube y el cliente de que dicha gestión la realice directamente el encargado de tratamiento.Otro criterio a tener en cuenta en base a la normativa de protección de datos es la obligación del encar-gado de tratamiento a disponer de un Documento de Seguridad, ya que el proveedor de la nube, segúnel tipo de nube y el servicio que preste al responsable, encaja como agente tratante definido en el artículo82.2 del RLOPD. Este documento de seguridad debe cumplir con los requisitos que le exige el artículo 88del RLOPD.Por lo tanto, podemos decir que, tanto el encargado de tratamiento como el responsable del tratamiento,tienen las mismas obligaciones de cumplimiento de implementación de las medidas de seguridad que exi-ge la normativa. Además, se debe tener en cuenta que el RLOPD, en su artículo 20.2, exige al responsable,es decir al cliente que contrata el servicio en la nube, que vigile el cumplimiento por parte del encargadode tratamiento, y por tanto, se obliga al responsable tener una diligencia a través de algún sistema quepermita la realización de controles periódicos.En cuanto a la posibilidad de existencia de subcontratación de servicios externos por parte del proveedorde computación en la nube, en los cuales estos subencargados tengan acceso a datos de carácter perso-18 Los aspectos de contratación se tratan específicamente en el Capítulo 7, no obstante, se incluyen en este capítulo los requerimientos de contratación específicos en materia de privacidad establecidos por la LOPD.19 Acrónimo utilizado comúnmente para referirse a los derechos de acceso (A), rectificación (R), cancelación (C) y oposición (O) de los titulares de los datos. 4. Cumplimiento legislativo en materia de Privacidad 27
  23. 23. Cloud Compliance Report Capítulo Español de Cloud Security Alliancenal, la ley no descarta la legitimidad de esta posibilidad, pero obliga a cumplir los siguientes requisitos(incluidos en el artículo 21 RLOPD): • Que los servicios que se pretende subcontratar se hayan previsto en el contrato entre el provee- dor y el cliente de este servicio. • Que se especifique en el contrato el contenido detallado del servicio subcontratado. • El cliente debe establecer las instrucciones de cómo tratar los datos.En definitiva, las empresas que deseen contratar un servicio de computación en la nube, deben teneren cuenta que existe una normativa estatal que impone al encargado del tratamiento la obligación deprocesar los datos del cliente de acuerdo con el sistema de seguridad establecido por la regulación deprotección de datos.4.4.2.2 Otros agentesEn la prestación de los servicios del proveedor de computación en la nube intervienen otros agentes sinlos que no sería posible la comunicación y el acceso a la información en la nube. Dichos agentes son losoperadores de telecomunicaciones y los prestadores de servicios de acceso a la red.Estos operadores explotan las redes públicas de comunicaciones gestionando y garantizando el tráfico dedatos que circulan por su infraestructura o prestan servicios de comunicaciones electrónicas, disponibles alpúblico, consistentes en permitir el acceso a las redes públicas de comunicaciones entre otros servicios.En tal supuesto, los datos de los abonados o usuarios son aquellas personas físicas o jurídicas que contra-tan el servicio ya sea directamente al operador que hace a la vez de proveedor de servicios de Internet(ISP, por sus siglas en inglés) o a través de un tercero que alquila los servicios de explotación al operadorde red.Por lo tanto, al considerarse sujetos obligados en base a la siguiente normativa20: • Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones. • Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones.Se establece una serie de requisitos, en relación a la protección de datos, que se deben cumplir21: • Identificar al personal autorizado para acceder a los datos que son objeto de esta Ley. • Adoptar medidas de seguridad con sujeción a lo dispuesto en el Título VIII del RLOPD.En base a la normativa aplicable se establece que el operador de telecomunicaciones que no preste ser-vicios de acceso a la red directamente al abonado podría considerarse prestador de servicios sin acceso20 Esta legislación se analiza en detalle en el Capítulo 5.21 Ver Art. 8 de la Ley 25/2007 “Protección y seguridad de los datos” y Art. 34 de la Ley 32/2003 “Protección de datos de carácter personal”. 4. Cumplimiento legislativo en materia de Privacidad 28
  24. 24. Cloud Compliance Report Capítulo Español de Cloud Security Alliancea datos personales de los ficheros de los abonados o usuarios (que actúan en calidad de responsablesde tratamiento)22 al tener prohibido en base al artículo 3.3 de la ley 25/2007 la conservación de ningúndato que revele el contenido de las comunicaciones a excepción de los supuestos de interceptación de lascomunicaciones autorizadas en base a lo contemplado en leyes especiales. Por lo tanto, deberá cumplircon el artículo 83 del RLOPD.El ISP podría equipararse a la figura del operador de telecomunicaciones, en el supuesto que se limite aprestar servicio de acceso a la red y, por tanto, se considere que presta un servicio sin acceso a datospersonales de los ficheros de los abonados o usuarios debido a la prohibición de conservar ningún datoque revele el contenido de las comunicaciones según el artículo 3.3 de la ley 25/2007 a excepción delos supuestos de interceptación de las comunicaciones autorizadas en base a lo contemplado las leyesespeciales. Por lo tanto, al igual que el operador de telecomunicaciones, también deberá cumplir con elartículo 83 del RLOPD.En el supuesto de que el ISP preste servicios complementarios de housing o hosting de correo electrónicoo disco duro virtual, por ejemplo, debería considerarse encargado de tratamiento de los datos contenidosen los ficheros de los abonados y por tanto cumplir con los requisitos del artículo 12 LOPD y artículos 20a 22 del RLOPD.4.4.3 RecomendacionesAbordando el tratamiento de datos desde un punto de vista de ciclo de vida y teniendo en cuenta lasobligaciones y el cumplimiento legal, se pueden enumerar una serie de recomendaciones básicas paracada uno de los perfiles posibles: Empresa proveedora de servicios en la nube, empresa contratante delas mismas y usuarios23.El concepto de tratamiento de datos engloba las fases de creación, almacenamiento, uso, compartición ocomunicación, archivo y cancelación de la información. En concreto, y con el fin de no solaparse con otrosestudios, en esta fase se va a centrar en el almacenamiento, uso y archivo de la información.Tres conceptos básicos se deben tener en cuenta en relación al tratamiento de los datos, sea cual sea elámbito de aplicación o actuación: • Recurso: Información sobre la que se desea actuar. • Acción: Tipo de actuación que se quiere realizar sobre un recurso. • Actor: Usuario que desea realizar una acción determinada sobre un recurso en concreto.La combinación de estos tres conceptos y cómo se gestionan, establecerá el ámbito de actuación en rela-ción al tratamiento de los datos.22 Delimitación de la figura de responsable y encargado en el Operador de telecomunicaciones contemplada en el Dictamen 1/2010 del Grupo del Artículo 29 sobre los conceptos de «responsable del tratamiento» y «encargado del tratamiento» (WP 169): http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_es.pdf .23 Personas afectadas por el tratamiento de sus datos personales. 4. Cumplimiento legislativo en materia de Privacidad 29
  25. 25. Cloud Compliance Report Capítulo Español de Cloud Security Alliance4.4.3.1 Empresa proveedoraLas responsabilidades del proveedor se relacionan según el tipo de servicio que se contrate, ya que el tipo deservicio nos indica el grado de responsabilidad que le afecta. Por eso, el proveedor es responsable de pro-porcionar los controles de medidas de seguridad que exige la normativa, en base al servicio contratado.El proveedor de computación en la nube será considerado encargado de tratamiento de los datos conte-nidos en los ficheros de los clientes y, por tanto, deberá cumplir con los requisitos del artículo 12 LOPD yartículos 20 a 22 del RDLOPD.Los proveedores de computación en la nube, como usuarios de las redes de comunicación y con provee-dor propio de ISP, deberán verificar el cumplimiento legal y legitimación de estos últimos agentes que lepermiten prestar el servicio a sus clientes finales.Tal verificación previa de cumplimiento normativo será necesaria para que los contratos de encargado detratamiento con los clientes finales puedan reflejar la información referente a los subencargados que per-mitirán la prestación de servicio. En las cláusulas del contrato se deberá resaltar la finalidad de dichos su-bencargos, la identificación geográfica de los agentes operadores y ley aplicable, así como una remisiónde las medidas de seguridad aplicables y el compromiso de responsabilidad de cualquier incumplimientonormativo. Cualquier incumplimiento de las estipulaciones del contrato será asumido directamente por laempresa proveedora como responsable directo ante el propio cliente (responsable de fichero o tratamiento)y ante las autoridades competentes de protección de datos.De manera general, la principal consideración sería que el papel del proveedor debe ser el de proporcionarlas herramientas necesarias y suficientes al propietario o responsable de la información en función del tipo denube (IaaS, PaaS, SaaS), siguiendo las pautas establecidas por la legislación actual y las normativas o pro-cedimientos que la organización propietaria de la información tenga desplegadas. En consecuencia con locomentado, desde el punto de vista de ciclo de vida del tratamiento de la información hay que considerar: • Almacenamiento o Control de acceso a la información. o Gestión de la documentación (meta-información que lleva asociada la documentación o informa- ción). En este punto, es importante remarcar que el tipo de clasificación que se defina en combi- nación con las capacidades de actuación que un usuario pueda poseer, proporciona un marco de control de acceso y gestión de la documentación muy avanzada, granular y programable a cualquier escenario, que es uno de los objetivos principales de cualquier tipo de nube. o Cifrado de la información. o Trazabilidad y auditoría. • Uso o Trazabilidad y auditoria. o Lógica de aplicación. o Control de acción sobre la información. • Archivo o Cifrado de la información en medios de almacenamiento de medio-largo plazo. o Gestión de activos y trazabilidad. 4. Cumplimiento legislativo en materia de Privacidad 30
  26. 26. Cloud Compliance Report Capítulo Español de Cloud Security Alliance4.4.3.2 Empresa clienteTodo cliente, responsable del tratamiento de datos personal, que contrata la prestación de un servicio enla nube, debe velar que el encargado del tratamiento reúna e implante las garantías para el cumplimientode las obligaciones en virtud de la normativa en materia de protección de datos.El propietario de la información debe analizar los riesgos sobre el ciclo de vida de la información y los acti-vos que lo contienen y gestionan. Por ello, la normativa de protección de datos y las diversas normativas deseguridad de la información establecen la necesidad de llevar a cabo una auditoría interna o externa.Para garantizar la trazabilidad y auditoría se recomienda establecer en el contrato una clausula contrac-tual del derecho a auditar, de manera que el proveedor de la nube acepte ser auditado. Sobre todo en estecaso, en que el propietario de la información tiene responsabilidades de cumplimiento normativo24.También es recomendable desarrollar un proceso para recopilar evidencias del cumplimiento normativo,incluyendo los registros de auditoría e informes de la actividad, gestión y procedimientos25.También podría darse el caso de generar contratos de adhesión donde el nivel de seguridad aplicable a laprestación del servicio en la nube deberá ser indicado por parte del responsable del fichero y este últimoaceptar en bloque las medidas adoptadas por su prestador de servicios de computación en la nube.En conclusión, se debe prestar atención a la elección de un proveedor de la nube, verificando que pro-porciona suficientes medidas de seguridad técnicas y medidas organizativas que rigen el tratamiento arealizar, y garantizar el cumplimiento de dichas medidas.De manera general, podríamos decir que el cliente, con el fin de cumplir las obligaciones del responsable detratamiento hará uso de las herramientas y técnicas que el proveedor le ofrezca. En consecuencia con lo co-mentado, desde el punto de vista de ciclo de vida del tratamiento de la información deberíamos considerar: • Almacenamiento o Control de acceso a la información. o Gestión de la documentación. o Cifrado de la información. o Trazabilidad y auditoría. En este punto sería interesante que el proveedor ofreciese la posibili- dad de programar diferentes tipos de alertas que avisen al contratante de situaciones de riesgo o pérdida de información. • Uso o Trazabilidad y auditoria. o Lógica de aplicación. o Control de acción sobre la información. • Archivo o Cifrado de la información en medios de almacenamiento de medio-largo plazo. o Gestión de activos y trazabilidad.24 Este aspecto se trata con mayor generalidad en el apartado 7.10 Auditabilidad.25 Para un análisis más detallado de este aspecto se puede consultar el Capítulo 8. 4. Cumplimiento legislativo en materia de Privacidad 31
  27. 27. Cloud Compliance Report Capítulo Español de Cloud Security Alliance4.4.3.3 UsuariosEn el caso de los usuarios, debemos asegurar que puedan ejercer sus derechos, al igual que se debe ase-gurar el cumplimiento de sus derechos fuera de la nube: • Almacenamiento o Control de acceso a la información. o Trazabilidad. • Uso o Trazabilidad. o Control de acción sobre la información.4.5 Medidas de seguridad4.5.1 Empresa proveedoraLos proveedores de servicios en la nube disponen, por definición, de una infraestructura distribuida sobrela que deberán desarrollar un marco de control a nivel de los datos que permita trazar en todo momentosu localización y el tratamiento de los mismos. Adicionalmente, el proveedor del servicio en la nube puedesubcontratar parte de sus servicios a terceros. En esos casos, el proveedor deberá adoptar las medidasnecesarias para asegurar que el proveedor subcontratado aplica las medidas necesarias para asegurar laprivacidad y confidencialidad de los datos.26Sin embargo, independientemente del modelo de servicios, las empresas proveedoras de servicios en lanube, al igual que la totalidad de las entidades que llevan a cabo cualquier tipo de actividad en España,están afectadas directamente por la LOPD así como su desarrollo reglamentario (RLOPD).4.5.1.1 Documento de seguridadAquellas empresas que operen en España deberán disponer de un ‘Documento de Seguridad’ que descri-ba las medidas de seguridad aplicadas para proteger los ficheros que contengan datos personales de susempleados, clientes y/o proveedores, tal como indica el artículo 88 del RLOPD. Para el tratamiento en lanube se tendrá especial cuidado en detallar qué tipos de datos se están o van a tratar y el nivel que deberáaplicar la empresa proveedora de servicios en la nube.La empresa proveedora de servicios en la nube deberá facilitar las herramientas de auditoría que la em-presa contratante requiera para cumplir con sus obligaciones.4.5.1.2 Responsable de SeguridadEn el Documento de Seguridad se indicará el o los responsables de seguridad designados por el proveedorde servicios en la nube.4.5.1.3 Control de acceso e identificaciónEn esta apartado nos estamos refiriendo al control de acceso a la información que ejerce una organizaciónante la petición de acceso de un usuario. No nos estamos refiriendo a la comunicación de la informaciónentre agentes o aplicaciones, es de suponer que si durante el flujo del proceso de acceso a los datos, se26 En el Capítulo 6 se analiza en detalle la implantación de Sistemas de Gestión de Seguridad de la Información y la interrelación entre sistemas de clientes y proveedores de servicios en la nube. 4. Cumplimiento legislativo en materia de Privacidad 32
  28. 28. Cloud Compliance Report Capítulo Español de Cloud Security Allianceha alcanzado el nivel de control de acceso, se han cumplido todas las restricciones aplicables en el nivelde comunicación y transmisión de la información.El proveedor del servicios en nube (en función del tipo de servicio) deberá proporcionar las herramientasnecesarias y suficientes al propietario o responsable de la información, siguiendo las pautas establecidaspor la legislación actual y las normativas o procedimientos que la organización propietaria de la informa-ción tenga desplegadas.Para ello, será necesario disponer de un buen sistema de clasificación de la información sobre el que apo-yarse a la hora de aplicar las medidas de seguridad, incluido las de control de acceso e identificación27.En este punto, es importante remarcar que el tipo de clasificación que se defina en combinación con lascapacidades de actuación que un usuario pueda poseer, proporciona un marco de control de acceso ygestión de la información muy avanzada, granular y programable a cualquier escenario, que es uno delos objetivos principales de cualquier tipo de nube.Si nos centramos en la LOPD, el nivel de control de acceso trata el consentimiento explícito por parte delafectado (LOPD), es decir, a quién se le permite el acceso y para qué. Estos controles se reflejan en unconjunto de políticas de autorización/acceso que serán definidas y gestionadas por parte del proveedory/o por el propietario de la información.4.5.1.4 Gestión de incidenciasDe acuerdo con lo estipulado en los Artículos 90 y 100 (nivel bajo y medio) del RLOPD, el proveedorde servicios en la nube deberá disponer de un procedimiento de notificación, gestión y respuesta de lasincidencias, entendiendo por “incidencia” cualquier anomalía que afecte o pueda afectar a la seguridadde los datos.Ante cualquier anomalía que afecte a los datos carácter personal el proveedor de servicios en la nubedeberá notificarla inmediatamente al cliente que ha delegado la gestión de los datos en el proveedor.4.5.1.5 Copias de seguridad y recuperaciónPara todo proveedor de servicios de en la nube la disponibilidad de los servicios es vital para su negocio,dada la multiterritorialidad de sus clientes. En este escenario, es fundamental disponer de un sistema decopias de seguridad, así como de un plan de recuperación de la información almacenada.Desde un punto de vista LOPD, es importante tener en mente que el propietario o responsable de la infor-mación es el encargado de decidir cómo debe ser almacenada la documentación. El proveedor del servi-cio en la nube únicamente deberá proporcionar las herramientas necesarias para que se pueda gestionarcómo se va a almacenar la documentación.4.5.1.6 AuditoriasEl auditor es la figura garante del cumplimiento de unas buenas prácticas y de la existencia de un nivel decontrol suficiente por parte del proveedor del servicio de computación en la nube, así como de posibles27 La clasificación de la información se trata en detalle en el capítulo 6 relativo a los Sistemas de Gestión de Seguridad de la Información. 4. Cumplimiento legislativo en materia de Privacidad 33
  29. 29. Cloud Compliance Report Capítulo Español de Cloud Security Allianceterceros a los que se hayan cedido los datos para su tratamiento. Para ello, el auditor, en el caso de que elproveedor de servicios en la nube acepte ser auditado, deberá ser un tercero independiente.Uno de los retos fundamentales del auditor será la obtención de evidencias de la realización de las tareasde control interno, así como la ubicación física de los datos.Por ello, el trabajo del auditor, dada la dispersión intrínseca a la arquitectura de la computación en la nubetendrá que adoptar un enfoque multi-territorial.La cuestión fundamental en este caso es cómo el propietario de la información (y el responsable de segu-ridad) tiene acceso y control de la trazabilidad y auditoría de su información y de los accesos que se hanrealizado sobre ella. Este aspecto es vital para el cumplimiento del marco legal en relación a la protecciónde datos personales y en relación a determinadas normativas de seguridad de la información.Es importante señalar que el proveedor de servicios en la nube deberá proporcionar las herramientasnecesarias para que el propietario pueda ejercer sus obligaciones, ofreciendo un marco de gestión de latrazabilidad y auditoría de los accesos permitidos y los accesos no permitidos, así como un registro de lasincidencias ocurridas relativas a los datos de carácter personal.Asimismo cabe destacar la diferencia de planteamiento cuando la información está localizada en un únicopunto o bien está distribuida por un número determinado de nubes. Este aspecto es transparente para elpropietario o responsable de la información, pero no para el proveedor de servicios en la nube, ya quedeberá desplegar un sistema de gestión y correlación de eventos de seguridad (SIEM) o similar en entornocolaborativo según sea el caso.4.5.1.7 TelecomunicacionesEl proveedor de servicios en la nube deberá proporcionar los mecanismos adecuados para proteger laconfidencialidad y privacidad de la información que circule a través de sus sistemas e infraestructuras decomunicaciones. Para ellos, deberá aplicar medidas criptográficas o de cifrado que protejan la informa-ción de accesos no autorizados (por ejemplo, SSL-TLS, IPSec, Kerberos, etc.)4.5.2 Empresa clienteEl cliente es donde empieza y acaba el servicio. Son sus datos o los de sus clientes los que debe protegerdirectamente o a través del proveedor de servicios en la nube. El cliente es el responsable de definir lapolítica de seguridad y privacidad que aplicar a sus datos.Podemos agrupar a los clientes en base a: • Modelo de “Cloud” • Tamaño de su OrganizaciónModelo de “Cloud” • Infrastructure as a Service (IaaS) El cliente es el responsable de la mayor parte de los controles de seguridad, incluyendo control de acceso de las aplicaciones, gestión de identidades de usuarios, etc. 4. Cumplimiento legislativo en materia de Privacidad 34
  30. 30. Cloud Compliance Report Capítulo Español de Cloud Security Alliance • Platform as a Service (PaaS) El cliente gestiona y controla las aplicaciones de software y, por lo tanto, es responsable de los controles de aplicación. • Software as a Service (SaaS) El cliente es un mero usuario o receptor del servicio que delega toda la responsabilidad en el proveedor de servicios en la nube. El cliente centrará sus esfuerzos en la supervisión de los Acuerdos de Nivel de Servicio (ANS) y de las medidas de seguridad. Dependerá de la infor- mación proporcionada por el proveedor.Modelo de OrganizaciónLas personas jurídicas actúan como intermediarios entre las personas físicas (clientes, empleados, proveedores,etc.) y el proveedor de servicios en la nube. Son los custodios de los datos obtenidos de sus propios clientes. • Grandes Corporaciones Multinacionales: Se trata de entornos muy complejos con gran cantidad de datos procedentes de distintos países con diferentes requisitos. Disponen de una estructura de con- trol interna que deberá adaptarse a las circunstancias de la computación en la nube. Su herramienta básica de gestión será un Acuerdo de Nivel de Servicio (ANS) que permita regular la relación. La principal dificultad estará en detectar incumplimientos y hacer que se respete el ANS28. • Pequeña y Mediana Empresa: Suele tratarse de organizaciones que carecen de un marco de control interno o es muy limitado, por lo que deberán confiar en la debida diligencia del proveedor en la prestación del servicio y el cumplimiento de la legislación vigente. Sus deci- siones de abogar por la computación en la nube dependerá de cuestiones económicas y de la confianza que generen las soluciones basadas en la misma. En este grupo estarían incluidos microempresas, autónomos y profesionales liberales.En este caso, aplicarán los mismos requisitos que al proveedor de servicios en la nube. Sin embargo, eneste caso el Documento de Seguridad deberá tener en cuenta que la gestión de muchos de los procedi-mientos de gestión de la información corresponderá al proveedor.4.5.2.1 Responsable de seguridadEl responsable de seguridad es la figura encargada de definir las medidas de seguridad a implantar paraasegurar la privacidad y confidencialidad de los datos, de acuerdo con los requisitos de cada país.El responsable de seguridad tiene la difícil misión de armonizar los diferentes requisitos de tal modo queden como resultado un marco de control coherente.El responsable de seguridad debe realizar una labor de coordinación con el proveedor de servicios en lanube e internamente, dentro de su organización. Cabe destacar, la necesidad de colaboración entre losresponsables de seguridad del proveedor de servicios en la nube y del cliente.Asimismo, deberá supervisar la implantación de las medidas de seguridad definidas y monitorizar de for-ma periódica su cumplimiento y la adecuada resolución de las anomalías que se detecten. La preocupacióndel responsable de seguridad ahora es la información (los datos), no el contenedor o la infraestructura.28 Para un análisis más detallado de los Acuerdos de Nivel de Servicio, consultar el apartado 7.12 4. Cumplimiento legislativo en materia de Privacidad 35
  31. 31. Cloud Compliance Report Capítulo Español de Cloud Security AllianceSon especialmente sensibles las trasferencias de datos entre países, donde los datos de un país A viajan aun país B con requisitos distintos en materia de privacidad (como veremos en el siguiente apartado).4.5.2.2 Control de acceso e identificaciónLa empresa que contrata servicios en la nube deberá definir las medidas de control de acceso a la infor-mación de carácter personal de sus empleados, clientes o proveedores en base a su clasificación y nivelde seguridad (alto, medio o bajo).Asimismo, deberá asegurar la posibilidad de acceso de las personas a sus datos personales para su con-sulta, modificación o eliminación.4.5.2.3 Gestión de incidenciasEl responsable de seguridad del cliente deberá conocer y validar el procedimiento de notificación, gestióny resolución de incidencias del proveedor de servicios en la nube. Asimismo, deberá supervisar la adecua-da resolución de las incidencias detectadas.4.5.2.4 Copias de seguridad y recuperaciónEl cliente deberá conocer y validar el procedimiento de realización y recuperación de copias de seguridadde su proveedor de servicios en la nube.Asimismo, se deberá acordar un plan de copias adecuado con el propietario de los datos y con el proveedor.El responsable de seguridad del cliente deberá supervisar la adecuada ejecución de dichos procedimien-tos de copia y recuperación de los datos.4.5.2.5 AuditoriasTal y como se especifica en el RLOPD, el responsable de seguridad será responsable de que se lleve a cabouna auditoria bienal (excepto en el caso de ficheros de nivel bajo) con objeto de validar el cumplimientode los requerimientos de dicho reglamento. En caso de que se produzcan cambios significativos sobre lossistemas de información o instalaciones, se realizará una auditoría de carácter extraordinario, a partir dela cual se reiniciará el cómputo de los dos años hasta la siguiente auditoría.Para aquellos datos cuya gestión se delega en el proveedor de servicios en la nube, se deberá obtener laconformidad correspondiente, bien a través de una auditoría directa por parte del cliente o bien que elproveedor proporcione una auditoría tipo SAS 70 o ISAE 3402 que incluya en su alcance la validacióndel cumplimiento de los requisitos exigidos por la LOPD.4.6 Transferencias Internacionales4.6.1 Descripción generalLas transferencias internacionales de datos de carácter personal tienen una regulación específica que se hade considerar para la computación en la nube, dado el frecuente carácter transnacional de ésta.No se van a considerar en este apartado las cesiones o comunicaciones de datos a otro responsable de fi-chero, dado que en ese caso se deberá cumplir la regulación correspondiente pero el hecho de estar en uncaso de computación en la nube no supone implicaciones adicionales. Asimismo, no se van a considerarlos aspectos relacionados con la seguridad de la transferencia que son considerados en el apartado 4.5. 4. Cumplimiento legislativo en materia de Privacidad 36
  32. 32. Cloud Compliance Report Capítulo Español de Cloud Security AlliancePor tanto, se contemplan los movimientos transfronterizos de datos que no sean considerados cesión ocomunicación de datos. Esta situación se da en dos casos: • El movimiento de datos transfronterizo lo realiza el responsable del tratamiento sin comunicar los datos a terceros. • El movimiento de datos transfronterizo implica el acceso de un tercero a los datos, pero dicho acceso es necesario para la prestación de un servicio al responsable del tratamiento29. Dicho tercero actuaría como ‘encargado del tratamiento’.En ambos casos, al no tratarse de una comunicación de datos desde el punto de vista de la legislaciónsobre protección de datos, no es preciso el permiso del interesado aunque sí aplica la regulación referentea las transferencias internacionales de datos.4.6.2 Legislación aplicableLas transferencias internacionales de datos de carácter personal están reguladas en: • Capítulo IV “Transferencia de datos personales a países terceros” de la Directiva 95/46/CE [Directiva 1995]. • Título V “Movimiento internacional de datos” de la LOPD. • Título VI “Transferencias Internacionales de datos” del RLOPD.Un aspecto clave en la regulación aplicable es si la transferencia se hace a un país con un nivel de protec-ción adecuado o a un país que no tiene un nivel adecuado.Los países entre los que los datos se pueden mover sin ningún requisito adicional a los de los movimientosdentro del propio país son los 27 estados miembros de la Unión Europea y los tres países miembros delEEE. Adicionalmente, la Comisión Europea ha reconocido hasta ahora30 que tienen un nivel de protec-ción adecuado los siguientes países: Suiza, Canadá, Argentina, Jersey, Isla de Man, los principios sobreprivacidad Safe Harbor del Departamento de Comercio de los Estados Unidos y la transferencia del “AirPassenger Name Record” a la Oficina de Aduanas y protección de fronteras de los Estados Unidos.La regulación para cada uno de estos dos casos es: • País de la UE, EEE o con un nivel adecuado de protección de datos. El movimiento transfron- terizo de datos no implica requisitos adicionales a los movimientos dentro del país, salvo su identificación en la notificación del fichero al Registro General de Protección de Datos. Asimismo se deberá tener en cuenta: o Movimientos realizados por el responsable del tratamiento: Deberá cumplir los requi- sitos de seguridad establecidos en el título VIII del RLOPD.29 Ver artículo 12 de la LOPD.30 Ver información actualizada en http://ec.europa.eu/justice/policies/privacy/thridcountries/index_en.htm 4. Cumplimiento legislativo en materia de Privacidad 37
  33. 33. Cloud Compliance Report Capítulo Español de Cloud Security Alliance o Movimientos con participación de un encargado del tratamiento: Deberá cumplir los requisitos para la prestación de este tipo de servicios (artículo 12 LOPD y artículos 20 a 22 del RLOPD). o Movimientos dentro de un grupo multinacional. Se puede hacer de dos maneras: • Cumplir los requisitos para los encargados del tratamiento (artículo 12 LOPD y artículos 20 a 22 del RLOPD) • Establecer unas ‘Binding Corporate Rules’ (BCR)31 que regulen los movimientos de datos. • País sin un nivel adecuado de protección de datos En este caso, el movimiento transfronterizo de datos tiene los mismos requisitos de legi- timidad que el anterior y en todos los casos será necesario recabar la autorización de la autoridad competente, el Director de la Agencia Española de Protección de Datos, en el caso español (art. 70 del RLOPD). Asimismo, se deberá incluir la información so- bre la transferencia en la notificación al Registro General de Protección de Datos. Para que el Director conceda el permiso, deberá existir un contrato escrito entre el expor- tador y el importador en el que consten las necesarias garantías de respeto a la pro- tección de la vida privada de los afectados y a sus derechos y libertades fundamenta- les y se garantice el ejercicio de sus respectivos derechos. A tal efecto, se considerará que establecen las adecuadas garantías los contratos que se celebren de acuerdo con lo previsto en las Decisiones de la Comisión Europea sobre cláusulas contractuales32. Los grupos multinacionales pueden optar por el modelo general basado en contratos caso por caso o adoptar y conseguir la aprobación por la autoridad competente de unas normas o reglas internas (Binding Corporate Rules) en que consten las necesarias garantías de respeto a la protección de la vida privada y el derecho fundamental a la protección de datos de los afectados y se garantice el cumplimiento de la regulación sobre la materia.4.6.3 Aspectos más relevantesEn general, la responsabilidad sobre el control de legalidad, en todos sus aspectos, respecto de las condi-ciones para legitimar las transferencias internacionales de datos recae en el cliente de servicios en la nubeque será el responsable desde el punto de vista de la protección de datos personales y quien deberá teneren cuenta las consideraciones realizadas en el punto anterior.31 Ver documentos wp153 y wp154 del Grupo del artículo 29 en http://ec.europa.eu/justice/policies/privacy/ workinggroup/wpdocs/2011_en.htmo32 - 2010/87/EC: Commission Decision of 5 February 2010 on standard contractual clauses for the transfer of personal data to processors established in third countries under Directive 95/46/EC of the European Parliament and of the Council - 2004/915/EC: Commission Decision of 27 December 2004 amending Decision 2001/497/EC as regards the introduction of an alternative set of standard contractual clauses for the transfer of personal data to third countries - 2001/497/EC: Commission Decision of 15 June 2001 on standard contractual clauses for the transfer of personal data to third countries, under Directive 95/46/EC 4. Cumplimiento legislativo en materia de Privacidad 38

×