Los 10 mandamientos de un “proveedor cloud serio”

acens ha compartido su visión sobre lo que debe hacer un proveedor de servicios cloud en cumplimiento del RGPD. Aunque la normativa impone a las empresas la obligación de elegir a un proveedor “serio”, no llega a estipular qué debe cumplir dicho proveedor para ser considerado como tal. Sin embargo, apunta las siguientes claves a tener en cuenta al elegir un proveedor cloud:

1.  Deberá comunicar al responsable si subcontrata a otro proveedor y transmitirle las obligaciones correspondientes. La ley no impide subcontratación de servicios, pero exige transparencia en la relación contractual entre la empresa y el proveedor de servicios cloud y la necesidad de comunicar debidamente las obligaciones a cumplimentar por todos y cada uno de los proveedores subcontratados conforme al RGPD.

 2. Formalizará un compromiso de confidencialidad y con el personal de administración y operación de sistemas y les formará en GDPR. “El personal de administración y operación de sistemas ha de recibir la formación necesaria para realizar las labores de gestión en los sistemas implicados, disponer de las normas y procedimientos para la realización de éstas y ser consciente del compromiso que mantenga en lo relativo a la confidencialidad e integridad de los datos del cliente”, explica Tomás Serna, abogado especializado en sectores de Internet, media y high-tech.

3.  Garantizará que únicamente accede al CPD el personal autorizado. Se debe contar con medidas de seguridad física en datacenters, como el control de acceso, vigilancia 24x7 y acceso biométrico para garantizar que únicamente accede a las mismas el personal autorizado. Además, también se deben incorporar circuitos cerrados de TV, sistemas de alimentación ininterrumpida, climatización, detección y extinción de incendios, sistemas tolerantes a fallos, entre otros.

4. En función de los servicios, implantará medidas de seguridad concretas como la seudonimización y el cifrado para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. En relación con las medidas de seguridad, el reglamento menciona algunos mecanismos y medidas de control como la seudonimización y el cifrado para garantizar la confidencialidad, disponibilidad y acceso a los datos, así como la capacidad del sistema capacidad de soportar datos y recuperarse ante incidentes.

5. Si lo incluye el servicio, realizará copias de seguridad para restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico. El proveedor cloud ha de realizar copias de seguridad de la información del cliente según el modelo de servicio de backup contratado, cuota y planificación, pero será responsabilidad del cliente establecer la política de copias de seguridad, indicando los ficheros o directorios que se deben incluir en estas copias de seguridad.

6. Realizará tareas de verificación, evaluación y valoración de las medidas de seguridad, de forma regular e idealmente en el marco de un Sistema de Gestión de Seguridad.

7. Notificará al cliente las incidencias de seguridad cuanto antes. La notificación de incidentes de seguridad a la autoridad competente ya existía para ciertos proveedores de servicio, pero ahora se amplía siendo de ámbito global para todas las compañías. “Una de las novedades más importantes que introduce esta regulación es la obligatoriedad de notificar las violaciones de seguridad cuando son relativas a la privacidad de datos. Hay un plazo de 72 horas e incluso dependiendo del tipo de incidente y de su gravedad será necesario comunicarlo a los usuarios afectados”, advierte Serna.

8. Teniendo en cuenta el alcance del servicio, asistirá y ayudará al cliente en el cumplimiento de RGPD e informará si considera que recibe instrucciones que pueden infringir el RGPD.

 9. Pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento en auditorías e inspecciones. Las autoridades competentes comprobarán en sus auditorías si se han tenido en cuenta la privacidad y protección de datos en la selección de proveedores.

 10. Suprimirá o devolverá los datos al finalizar el contrato.