Retos GDPR para servicios Cloud
Las organizaciones deben asegurarse de que sus proveedores de servicios en la nube cumplan con GDPR antes de la fecha límite en mayo de 2018.
El Reglamento General de Protección de Datos de la Unión Europea (GDPR) introduce medidas para garantizar la seguridad de los datos personales, especificando cómo las organizaciones deben gestionar los datos de sus empleados, clientes y socios. Estas regulaciones se aplican a las personas que viven en el Área Económica Europea (EEE).
Los datos personales se consideran cualquier información que pueda identificar directa o indirectamente a un individuo, ya sea que se relacione con su vida privada, profesional o pública. Puede ser un nombre, una foto, una dirección de correo electrónico, los datos bancarios de un individuo, información médica, detalles de rendimiento laboral, compras, números de impuestos, educación o competencias, ubicación, nombres de usuario o direcciones de IP de la computadora, y más.
Estas regulaciones entrarán en vigor el 25 de mayo de 2018 en toda Europa e impactarán la forma en que los proveedores de servicios en la nube (CSP) y otras organizaciones administran los datos personales. Los CSP deberán comprender y cumplir con estas reglamentaciones, y las organizaciones que elijan un CSP deben asegurarse de que todos los proveedores que se consideren cumplan con estas reglamentaciones.
Los CSP deberán adaptar y modificar sus servicios, contratos y procesos en segundo plano para abordar los nuevos requisitos bajo el GDPR. Si no lo hacen, las consecuencias son costosas. El incumplimiento de esta regulación puede reflejarse en multas que ascienden a 20 millones de euros o el 4% de la facturación global, el que sea mayor.
Las regulaciones se aplican independientemente de dónde se guardan los datos personales, ya sea en papel o en servidores en la nube. Sin embargo, la nube plantea una serie de desafíos de cumplimiento específicos.
Controladores y Procesadores
Es importante comprender el papel de todos en el cumplimiento de GDPR. El GDPR amplía el alcance de las regulaciones de seguridad de datos. Anteriormente, las regulaciones solo se aplicaban al «controlador», es decir, la persona u organización que determina el propósito y los medios de procesamiento de los datos personales. Por ejemplo, una empresa sería el controlador de sus datos de clientes y empleados.
Sin embargo, el GDPR extiende la responsabilidad de cumplimiento al «procesador» de los datos, como un CSP. El GDPR requiere que los procesadores desarrollen e implementen una serie de procedimientos y prácticas internas para proteger los datos personales. La mayoría de esos procedimientos y prácticas están relacionados con la gestión de seguridad de la información, por lo que aquellos que siguen estándares internacionales como ISO 27001 o SOC2 son los más preparados para los desafíos GDPR. Además, el procesador debe asegurarse de que los subcontratistas cumplan con los requisitos.
Localización de los datos
El GDPR requiere que los controladores y procesadores sepan dónde se encuentran los datos personales para su almacenamiento y procesamiento. Esto restringe la capacidad de transferir datos personales a otros países u organizaciones internacionales fuera del EEA. Los CSP pueden tener o usar servidores fuera del EEA, pero la transferencia de datos personales debe cumplir con los principios de transferencia de datos de GDPR. Por ejemplo, la nube de un proveedor podría ser compatible con Amazon Web Services (AWS), lo que permitiría que los datos de los clientes se almacenen en Europa y, por lo tanto, cumplan con GDPR. La transferencia de datos es más fácil si las organizaciones seleccionan un CSP con infraestructuras ubicadas en múltiples regiones.
Las empresas, como controladores, deben evaluar si las medidas de seguridad de su CSP, el procesador, cumplen con los requisitos de seguridad realizando auditorías periódicas. Lo mismo se aplica a un procesador que usa un subprocesador. Cada Estándar de Seguridad Internacional tiene su propio programa de seguridad como parte del proceso de certificación. Esto significa que periódicamente se evalúan los controles en su lugar, así como su nivel de madurez en términos de cumplimiento. Como ejemplo, ISO 27001 Anexo A especifica 114 controles de seguridad que se deben adoptar y cualquier exclusión de adopción debe estar justificada.
Derechos de los individuos y contratos en la nube
El GDPR extiende derechos específicos a individuos con respecto al uso de sus datos personales. Estos incluyen procesos en torno a la transferencia de datos y cuándo borrar los datos. Aunque estas responsabilidades se asignan al controlador, recaerá en los procesadores la adaptación de la infraestructura o los servicios para acomodar esto. Por ejemplo, uso de bases de datos compartidas o dedicadas se deben considerar de acuerdo con la naturaleza del esquema de datos.
El GDPR es preceptivo sobre el contenido de los contratos establecidos entre controladores y procesadores, y establece muchas estipulaciones, incluso cuándo procesar datos personales. A medida que las personas se preocupen más por la seguridad de sus datos personales, habrá más regulaciones, como GDPR. El mejor enfoque es adelantarse a las regulaciones lanzando iniciativas de seguridad y manteniéndose al día con las últimas certificaciones de seguridad. Al adoptar estándares internacionales en administración de seguridad de la información, las compañías están mucho más preparadas para manejar nuevos requisitos. En la mayoría de las situaciones, solo se requieren algunos cambios para incluir o implementar de una manera diferente.
Proveedores de centros de datos
Los proveedores de centros de datos también son una pieza importante en la cadena de cumplimiento de GDPR que no puede pasarse por alto. Tienen la propiedad de los activos físicos donde se almacena la información. En ese sentido, se consideran procesadores y se les exige que administren al menos datos personales relacionados con el control de acceso físico como la biometría, la videovigilancia, sus propios empleados y la información de los subcontratistas.
En relación con la información de identificación personal (PII), el cumplimiento de GDPR presenta algunos desafíos que los administradores de centros de datos deben abordar. Para empezar, deberían crear, implementar y administrar políticas de retención de datos compatibles con las necesidades específicas de los clientes y la legislación local. También deberían actualizar los procesos y la tecnología para cubrir el derecho a olvidar y los requisitos de portabilidad de datos.
La fecha límite de GDPR se acerca rápidamente y las organizaciones se están quedando sin tiempo. Es esencial que todos comprendan estas regulaciones y asuman la responsabilidad de los datos con los que entran en contacto, ya sean controladores o procesadores. Las organizaciones deben tomarse el tiempo para evaluar que sus CSP cumplan con GDPR antes de la fecha límite. Si bien los CSP pueden tener que realizar muchos cambios en un corto período de tiempo, estos cambios mejorarán en última instancia la seguridad de los datos, que es vital en el volátil panorama actual de ciberseguridad.