SlideShare une entreprise Scribd logo
1  sur  143
Télécharger pour lire hors ligne
Ini c i a ti va c oord i na da y pat r o ci n ada po r :
C loud Co mp li a nce Report
CA P Í T U LO E S PA Ñ O L
D E C LO U D S E CU R I T Y A L L I ANCE

Versión 1 - mayo 2011




Título:
Cloud Compliance Report


Copyright y derechos:
CSA- ES (Cloud Security Alliance- España) - ISMS Forum Spain.

Todos los derechos de esta Obra están reservados a CSA-ES (Cloud Security Alliance-España) y a ISMS Forum Spain.
Los titulares reconocen el derecho a utilizar la Obra en el ámbito de la propia actividad profesional con las siguientes
condiciones:


a) Que se reconozca la propiedad de la Obra indicando expresamente los titulares del Copyright.
b) No se utilice con fines comerciales.
c) No se creen obras derivadas por alteración, trasformación y/o desarrollo de esta Obra.


- Los titulares del Copyright no garantizan que la Obra esté ausente de errores. En los límites de lo posible se procederá
  a corregir en las ediciones sucesivas los errores señalados.
- El contenido de la Obra no constituye un asesoramiento de tipo profesional y/o legal.
- No se garantiza que el contenido de la Obra sea completo, preciso y/o actualizado.
- Eventuales denominaciones de productos y/o empresas y/o marcas y/o signos distintivos citados en la Obra son de
  propiedad exclusiva de los titulares correspondientes.


Más información acerca de CSA-ES se puede consultar a través de su página oficial:
www.cloudsecurityalliance.es
www.ismsforum.es/csa
www.cloudsecurityalliance.org
S o b re C S A - E S :
Con 91 miembros fundadores, representativos de los distintos actores de la industria del Cloud Computing en
España, nació en mayo de 2010 el capítulo Español de Cloud Security Alliance: CSA-ES, impulsado
por ISMS Forum Spain y Barcelona Digital. CSA es la organización internacional de referencia en la que exper-
tos de algo nivel debaten y promueven el uso de mejores prácticas para garantizar la seguridad y privacidad
en el entorno del Cloud Computing. Por su parte, el capítulo español ya cuenta con 200 miembros, siendo su
ámbito de interés el “Compliance en la Nube”. En este sentido existen tres grupos de trabajo específicos, como
son: Privacidad y Cumplimiento Normativo en la Nube; Sistemas de Gestión de Seguridad de la Información, y
Gestión de Riesgos en la Nube; y Contratación, Evidencias Electrónicas y Auditoría en la Nube. Los profesionales
que conforman estos grupos han trabajado en este primer Report español en materia de Cloud Compliance.
La estructura de CSA-ES consta de:

 Junta Directiva
                                                                                                     Cargo en la Junta Directiva
 Nombre                Cargo, empresa
                                                                                                     de CSA-ES
                                                                                                     Presidente - Comité
 Luis Buezo Bueno      Director EMEA IT Assurance, HP Technology Services
                                                                                                     Operativo
                       Director de Riesgos Tecnológicos y Seguridad Informática de                   Vicepresidente - Comité
 Jesús Milán Lobo
                       Bankinter                                                                     Operativo
 Jesús Luna García     Investigador, Technische Universität Darmstadt (Alemania)                     Vocal - Comité Operativo
 Casimiro Juanes       Director Regional de Seguridad RMED de Ericsson                               Vocal - Comité Operativo
 Nathaly Rey           Directora General de ISMS Forum Spain                                         Vocal - Comité Operativo
 Gianluca D´Antonio    Chief Information Security Officer (CISO) del Grupo FCC                       Vocal
 Elena Maestre         Socio de Riesgos Tecnológicos de PricewaterhouseCoopers Auditores S.L.        Vocal
 Ramón Miralles        Coordinador de Auditoria y Seguridad de la Información de la
                                                                                                     Vocal
 López                 Autoridad Catalana de Protección de Datos
 Carlos Alberto Sáiz   Socio responsable del Área de GRC Governance, Risk y Compliance
                                                                                                     Vocal
 Peña                  de Ecija
                       Profesor Titular de Universidad. Dpto. Ingeniería Telemática en la E.T.S.I.
 Víctor A. Villagrá                                                                                  Vocal
                       Telecomunicación de la Universidad Politécnica de Madrid (UPM)

 Consejo Asesor
 Nombre                        Cargo, empresa
 Pau Contreras                 Director de Innovación y Desarrollo de Negocio de Oracle Ibérica
 Antoni Felguera               R+D Security Manager de Barcelona Digital Technology Centre
 Marcos Gómez Hidalgo          Subdirector de Programas de INTECO
 Olof Sandstrom                Director General de Operaciones de Arsys

 Los líderes de los Grupos de Trabajo
 Nombre                        Cargo, empresa                             Grupo de Trabajo
 Miguel Ángel Ballesteros
                               Auditor en CEPSA                           Privacidad y Cumplimiento Normativo en la Nube
 Bastellesteros
                               Managing Partner en n+1 Intelligence       Sistemas de Gestión de Seguridad de la
 Antonio Ramos
                               & Research                                 Información, y Gestión de Riesgos en la Nube
                               Security R&D Business Manager en           Contratación, Evidencias Electrónicas y Auditoria
 María Luisa Rodríguez
                               Barcelona, Digital Centre Tecnològic       en la Nube
Cloud compliance report_csa-es_v.1.0
Cloud Compliance Report         Capítulo Español de Cloud Security Alliance




                     Índice



1.    Resumen ejecutivo                                                                               9
2.    Introducción y justificación del estudio                                                    12
3.    Contenido del documento                                                                     14
4.    Cumplimiento legislativo en materia de Privacidad                                           18
      4.1 Introducción                                                                            18
      4.2 Contenido del capítulo                                                                  21
      4.3 Legislación aplicable                                                                   23
      4.4 Encargado de tratamiento                                                                25
      4.5 Medidas de seguridad                                                                    32
      4.6 Transferencias Internacionales                                                          36
      4.7 Ejercicio de derechos                                                                   42
      4.8 Autoridades de control                                                                  46
      4.9 Comunicación de datos a otras autoridades                                               51
      4.10 Conclusiones                                                                           54
5.    Cumplimiento con otras legislaciones                                                        58
      5.1 Introducción                                                                            58
      5.2 Contenido del capítulo                                                                  58
      5.3 Anteproyecto de Ley de modificación de la Ley 32/2003, de 3 de noviembre,
          General de Telecomunicaciones                                                           59
      5.4 Ley 11/2007, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos           60
      5.5 Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información
          y Comercio Electrónico                                                                  60
      5.6 Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal                              62
      5.7 Aspectos Jurídicos Laborales                                                            67




                                                                                          0. Índice
                                                                                                i         5
Cloud Compliance Report         Capítulo Español de Cloud Security Alliance




6.    Sistemas de Gestión de la Seguridad de la Información en la nube                      70
      6.1 Introducción                                                                      70
      6.2 Contenido del capítulo                                                            70
      6.3 Principios generales de despliegue de un SGSI                                     71
      6.4 Fase I. Definición y preparación del SGSI                                         72
      6.5 Fase II. Implantación y operación del SGSI                                        81
      6.6 Fase III. Seguimiento y mejora del SGSI                                           83
      6.7 Conclusiones                                                                      85
7.    Efectos de la computación en la nube sobre la contratación de servicios TIC           88
      7.1 Introducción                                                                      88
      7.2 Contenido                                                                         90
      7.3 Mecanismos de resolución de conflictos                                            91
      7.4 Confidencialidad                                                                  91
      7.5 Propiedad Intelectual                                                             92
      7.6 Responsabilidad                                                                   93
      7.7 Resolución anticipada                                                             93
      7.8 Privacidad y protección de datos                                                  94
      7.9 Ley aplicable y jurisdicción                                                      96
      7.10 Auditabilidad                                                                    97
      7.11 Seguridad                                                                        99
      7.12 Acuerdos de Nivel de Servicio (ANS)                                            101
      7.13 Recomendaciones                                                                102
8.    La obtención de evidencias digitales en la nube                                     105
      8.1 Introducción                                                                    105
      8.2 Contenido del capítulo                                                          105
      8.3 La problemática                                                                 106
      8.4 Las “amenazas principales” y la prueba electrónica                              108
      8.5 Recomendaciones                                                                 111




                                                                                    0. Índice    6
Cloud Compliance Report        Capítulo Español de Cloud Security Alliance




9.    Auditoría de entornos de computación en la nube                                   113
      9.1 Introducción                                                                  113
      9.2 Contenido del capítulo                                                        114
      9.3 Metodologías y tecnologías de auditoría.                                      115
      9.4 Recomendaciones                                                               117
10. Glosario                                                                            120
11. Referencias                                                                         123
12. Anexos                                                                              125
      Anexo I. Amenazas asociadas a tecnologías específicas                             125
      Anexo II. Amenazas                                                                127
      Anexo III. La prueba electrónica en el marco legal Español                        133
      Anexo IV. Metodologías y tecnologías de auditoría                                 138




                                                                                  0. Índice
                                                                                        i     7
Cloud compliance report_csa-es_v.1.0
Cloud Compliance Report          Capítulo Español de Cloud Security Alliance




           Resumen ejecutivo



El cumplimiento normativo es uno de los aspectos mencionados ineludiblemente por cualquier estudio rela-
tivo a la implantación de modelos de computación en la nube. Esta circunstancia, unida al hecho de que
la regulación española sobre la privacidad es modélica a nivel mundial, ha hecho que el capítulo español
de la Cloud Security Alliance se haya decidido a abordar este ‘Cloud Compliance Report’.

Pero el enfoque del cumplimiento normativo se ha abordado de una manera amplia, no limitado a los
aspectos sobre la privacidad, sino que incluye también otras normas exigibles en España, así como, nor-
mativas de carácter voluntario, como la ISO/IEC 27001:2005 sobre Sistemas de Gestión de la Seguridad
de la Información (SGSI) o un análisis de los aspectos relacionados con la contratación como pieza funda-
mental de la relación entre cliente y proveedor de servicios en la nube.

Además de incluir todo este tipo de normas, el estudio ha ido un poco más allá e incluye también lo rela-
cionado con la validación del cumplimiento, es decir, analiza la realización de auditorías y la obtención
de evidencias digitales en entornos de computación en la nube.

Finalmente, resaltar que el estudio ha tomado en consideración tanto el punto de vista del cliente como del
proveedor de servicios para lo que ha sido fundamental que sus autores conformaran un grupo multidis-
ciplinar y representativo de ambas perspectivas. En aquellos puntos donde es relevante, también existen
reflexiones y recomendaciones por tipo de servicio (SaaS, PaaS o IaaS) y por tipo de despliegue (nube
privada, pública, híbirida…).

Uno de los principales objetivos del presente documento es aportar un enfoque metodológico que ayude a
abordar las necesidades de cumplimiento dentro de la computación en la nube. Está claro que no pode-
mos ver sólo los beneficios del computación en la nube y obviar sus implicaciones y riesgos, en especial,
todo lo relacionado con el cumplimiento. Por otro lado, tampoco podemos recurrir sistemáticamente a
argumentos de seguridad y cumplimiento para paralizar las iniciativas en la nube. Todo es cuestión de
balancear, identificando qué servicios, cómo y cuándo se pueden ir implementando de manera adecuada
en los diferentes modelos de computación en la nube. La evolución hacia la nube será gradual y clara-
mente los requerimientos de cumplimiento serán uno de los principales parámetros que irán marcando la
velocidad de esta evolución.

En cuanto a las conclusiones más relevantes de este estudio, aunque son difíciles de resumir en tan poco
espacio, sí que es interesante resaltar que tienen un mismo hilo conductor: Aumentar la transparencia
en la relación entre cliente y proveedor de servicios de computación en la nube como elemento básico de
confianza entre las partes (en este sentido, por ejemplo, contar con un proveedor certificado es un factor
muy positivo). Estas recomendaciones, en gran medida, también podrían ser de aplicación a los modelos
más tradicionales de externalización de servicios (como el housing o el hosting), lo cual es lógico, puesto



                                                                                  1. Resumen ejecutivo        9
Cloud Compliance Report          Capítulo Español de Cloud Security Alliance




que la computación en la nube podría considerarse como un salto cualitativo en los modelos de provisión
de servicios TIC.

De este modo, nos encontramos con recomendaciones como la de que los clientes informen a los provee-
dores sobre los tratamientos de datos de carácter personal que están realizando y los requisitos que sobre
ellos existen y que éstos, a su vez, identifiquen e informen de las localizaciones en las que realizarán
dichos tratamientos o de proveedores a los que ellos subcontraten parte de sus servicios, así como, que se
establezcan mecanismos de coordinación entre ambas partes para asegurar que se puede dar cumplimien-
to a los derechos de los afectados de manera responsable.

En cuanto a la implantación de SGSIs, también nos encontramos recomendaciones en sentido de ampliar
los canales de comunicación en materia, por ejemplo, de valoración de riesgos, de incidencias, de va-
riación de los niveles de riesgo, así como de coordinación (como, por ejemplo, en materia de definición
de roles y responsabilidades, respuesta a incidentes o realización de tareas de seguimiento y auditoría),
mecanismos éstos especialmente relevantes en el caso de SGSIs “encapsulados”. En este punto, se incluye
una reflexión especial en relación a los alcances, en el sentido de que deben ser significativos para los
servicios prestados en la nube.

En relación a la contratación de servicios en la nube, las recomendaciones también tienen la misma orien-
tación, encontrándonos con referencias a los Acuerdos de Nivel de Servicio como herramientas funda-
mentales para definir y monitorizar el servicio, pero también con aspectos como determinar la propiedad
intelectual de los distintos elementos de la provisión del servicio, establecer mecanismos de resolución de
conflictos o clarificar desde el inicio las leyes aplicables y la jurisdicción aplicable.

Para finalizar, en cuanto a los aspectos relacionados con la validación del cumplimiento (evidencias y au-
ditoría), las recomendaciones hacen foco en los aspectos de coordinación (quién debe encargarse de qué
tarea en aspectos como elaboración de métricas, realización de revisiones, etc.), así como en el estableci-
miento de un entorno confiable mediante la implantación de mecanismos como procedimientos de gestión
de evidencias, medidas de protección de los registros de auditoría, planificación de auditorías, etc.




                                                                                  1. Resumen ejecutivo        10
Cloud compliance report_csa-es_v.1.0
Cloud Compliance Report          Capítulo Español de Cloud Security Alliance




                    Introducción y justificación del estudio



El pasado 21 de Mayo de 2010, ISMS Forum Spain y Barcelona Digital, centro tecnológico de I+D+i es-
pecializado en seguridad, conjuntamente con la Cloud Security Alliance (CSA), anunciaron la creación del
capítulo español del CSA. Como es ya conocido, CSA es la organización internacional de referencia en la
que expertos de alto nivel debaten y promueven el uso de mejores prácticas para garantizar la seguridad
y privacidad en el entorno de computación en la nube.

El capítulo español, que se denomina CSA-ES, lo constituyeron inicialmente 91 miembros. Se trató del
primer capítulo de ámbito nacional del CSA y se fundó con la misión de avanzar en el desarrollo seguro
de la tecnología cloud computing (computación en la nube) en España, constituyendo un foro de discusión
y aglutinamiento de los profesionales de seguridad en éste ámbito de trabajo. Los principales objetivos de
CSA-ES son promover un nivel de entendimiento entre consumidores y proveedores de cloud, potenciar el
desarrollo de guías y buenas prácticas independientes, así como lanzar campañas de concienciación y
sensibilización sobre el uso adecuado y seguro de la nube.

Cada capítulo regional selecciona un ámbito específico de interés en relación con la computación en
la nube. El hecho de que la regulación española sobre la privacidad es modélica a nivel mundial, ha
justificado que el CSA-ES seleccionara el área de “Compliance en la Nube”, marcándose como objetivo
desarrollar el presente documento, según ratificó la Junta Directiva, una vez que la misma fue constituida.

Desde la fundación de CSA-ES, se constituyeron 3 grupos de trabajo enfocados a trabajar en paralelo
para el desarrollo del presente documento en las siguientes áreas:

         • Grupo de Trabajo 1: Privacidad y cumplimiento normativo

         • Grupo de Trabajo 2: Sistemas de gestión de seguridad de la información y gestión de riesgos

         • Grupo de Trabajo 3: Contratación, evidencias electrónicas y auditoría..

CSA-ES está convencido de que este ‘Cloud Compliance Report’, sin duda alguna, aportará un gran valor
a la industria en virtud de que precisamente el cumplimento normativo es una de las barreras a la hora de
implantar el modelo de computación en la nube en muchas organizaciones, máxime teniendo en cuenta
las rigurosas obligaciones de seguridad que vienen impuestas por la normativa de protección de datos de
carácter personal, y la carencia de un nivel de entendimiento con reguladores y autoridades de control.

El objetivo del Capítulo es partir de una base general robusta en materia de cumplimiento, para después,
ir trabajando por sectores de interés (banca, salud, seguros, telecomunicaciones, etc.).




                                                              2. Introducción y justificación del estudio     12
Cloud compliance report_csa-es_v.1.0
Cloud Compliance Report          Capítulo Español de Cloud Security Alliance




                    Contenido del documento



Para abordar el estudio del cumplimiento en la nube, el capítulo español de la Cloud Security Alliance
dividió el tema considerando que el cumplimiento tiene dos estadios. En primer lugar, el inventariado. En
este primer momento, lo que afrontamos es la identificación de las normas que son de aplicación a la Or-
ganización. Dentro de estas, podríamos clasificar las normas de aplicación a cualquier organización en:

         • Normas generales, que a su vez, podrían ser obligatorias (ordenamiento jurídico de los Estados
           normalmente) o voluntarias (códigos tipo o mejores prácticas).

         • Normas particulares, es decir, aquellas que aplican con carácter individual por aceptar los
           términos de un contrato o normas sectoriales.

Una vez superado este estadio enunciativo, vendría la etapa de validar el cumplimiento. Este cumplimiento
se apoya en dos grandes ejes. Por un lado, las evidencias digitales que permiten demostrar hechos en los
entornos telemáticos y que son de especial relevancia en la nube y, como no, la auditoría, como herra-
mienta (que se apoya en múltiples ocasiones en evidencias digitales) para validar que una determinada
organización, sistema o servicio “cumplen” con lo requerido por alguna de las normativas mencionadas
anteriormente.

Esta estructuración de contenidos se concentró generando tres grupos de trabajo:

         • El primer grupo de trabajo se centró en las normas generales y los resultados se encuentran en
           los capítulos 4 y 5. Se ha decidido tratar la privacidad en un capítulo propio, dada su especial
           relevancia en el contexto de la computación en la nube, y la importancia de la normativa de
           protección de datos de carácter personal, especialmente en el contexto Europeo.

         • El segundo grupo de trabajo se dedicó a las normas voluntarias, más concretamente, se concen-
           tró en los Sistemas de Gestión de la Seguridad de la Información en base a la norma ISO/IEC
           27001:2005 dada su importancia a nivel mundial y mejor práctica generalmente aceptada y
           cuyo análisis se encuentra en el Capítulo 6.

         • Finalmente, el tercer grupo se dedicó a los aspectos restantes. A la contratación, como meca-
           nismo en el que se establecen los requisitos entre las partes (Capítulo 7) y, por otro lado, en lo
           relacionado con la verificación del cumplimiento, que se traduce en dos capítulos independien-
           tes: las evidencias digitales (Capítulo 8) y la auditoría (Capítulo 9).




                                                                             3. Contenido del documento         14
Cloud Compliance Report           Capítulo Español de Cloud Security Alliance




La estructura resultante es la que puede apreciarse en el gráfico adjunto (Ilustración 1).

Ilustración 1. Organización del contenido del documento


                                                                                             4. Privacidad

                                                                       Obligatorias

                                                                                               5. Otras
                                                 Generales


                                                                       Voluntarias             6. SGSI
                           Normas



                                               Particulares           Contratación
  Compliance
    Report

                                               8. Evidencias
                                                  digitales
                          Validación

                                                9. Auditoría




Por otra parte, aunque los aspectos cubiertos por este documento son algunos muy diferentes, se ha pro-
curado mantener una misma estructura en todos los capítulos de forma que sea fácil para el lector seguir
la argumentación a lo largo de todo el estudio pero que también puedan ser consultados de manera indi-
vidual sin que sea necesario leer todo el informe para sacar provecho de su lectura. De esta forma, todos
los capítulos tienen los siguientes apartados:

         • Una introducción inicial que ayuda a centrar el tema en cuestión, explica por qué se aborda y
           su relación con la computación en la nube.

         • Un apartado que explica el contenido del capítulo de manera específica para que el lector sepa
           dónde puede encontrar determinados aspectos que le interesen en mayor medida.




                                                                             3. Contenido del documento      15
Cloud Compliance Report         Capítulo Español de Cloud Security Alliance




       • Finalmente, tras el desarrollo de cada aspecto se incluye un apartado final de conclusiones o
         recomendaciones a modo de compendio final de los aspectos más relevantes del capítulo. No
         obstante, durante el desarrollo de cada parte del documento se van realizando recomendacio-
         nes relativas a la materia en estudio en cada momento, por lo que es importante, si el lector está
         interesado en algún tema concreto que lea el capítulo completo para obtener un mayor grado
         de detalle.

Ilustración 2. Estructura de los capítulos




                                             Introducción




                Conclusiones /                Estructura
                                                                         Contenido
               Recomendaciones                 capítulos




                                              Desarrollo




                                                                           3. Contenido del documento         16
Cloud compliance report_csa-es_v.1.0
Cloud Compliance Report            Capítulo Español de Cloud Security Alliance




                         Cumplimiento legislativo en materia
                         de Privacidad



4.1 Introducción
Actualmente existen diversas definiciones y características de computación en la nube, por lo que no es
fácil dar una definición clara a lo que podríamos describir como un modelo para la prestación de servicios
y recursos (redes, servidores, capacidad de almacenamiento, aplicaciones y servicios) bajo demanda a
través de la red, caracterizado por su adaptabilidad, flexibilidad, escalabilidad, rapidez, optimización y
eficiencia.

Estos componentes pueden orquestarse, abastecerse, implementarse y desmantelarse rápidamente y esca-
larse en función de las dimensiones necesarias para ofrecer los servicios solicitados.

También puede definirse como que el modelo en la nube es, en la actualidad, una oferta de acceso inme-
diato y a un coste asequible (y a veces gratuito) a las tecnologías de la información cuya infraestructura,
hardware, software y personal cualificado, se pone al alcance de empresas y particulares para ofrecer
diversos productos y servicios.

Siguiendo con la definición que ofrece la Cloud Security Alliance (en adelante, CSA) de la computación en
la nube, las características esenciales de este modelo son: autoservicio a la carta, amplio acceso a la red,
reservas de recursos en común, rapidez y elasticidad y servicio supervisado [CSA, 2009].

De acuerdo con el documento de CSA “Top Threats to Cloud Computing v1.0” [CSA, marzo 2010], y dada
la importancia del fenómeno de la computación en la nube, como demuestra la publicación de otros infor-
mes similares como el de INTECO [Inteco, 2011], el del World Privacy Forum [WPF, 2009], etc., se pueden
enumerar una serie de amenazas a tener en cuenta a la hora de desplegar un modelo de servicio en la
nube como serían: Interfaces y APIs1 poco seguros, problemas derivados de las tecnologías compartidas,
pérdida o fuga de información, secuestro de sesión, riesgos por desconocimiento, migración de servicios
hacia otro proveedor, amenaza interna y mal uso o abuso del servicio. A estos riesgos asociados a este
modelo de computación, que además destacan por su falta de históricos, habría que añadir otros como
son los accesos de usuarios con privilegios, la localización y el aislamiento de los datos, la recuperación, el
soporte investigativo, la viabilidad a largo plazo, la falta de control de la gestión y seguridad de los datos,
las cesiones no consentidas o las transferencias internacionales no autorizadas, en definitiva, la privacidad
de los datos en la nube y el cumplimiento normativo o legal.

Conviene recordar que aspectos como las transferencias internacionales, las subcontrataciones o las dis-
tintas jurisdicciones de las diferentes autoridades de control son difíciles de resolver en este modelo de
computación, según entendemos la normativa actualmente.

1
    Application Programming Interface



                                                     4. Cumplimiento legislativo en materia de Privacidad         18
Cloud Compliance Report          Capítulo Español de Cloud Security Alliance




Tampoco conviene olvidar que es casi imposible cumplir con el precepto de verificación del cumplimiento
del encargado del tratamiento por el responsable del fichero dada la diferencia de tamaño y capacidad
negociadora de las organizaciones que a veces están implicadas en el proceso.

A su vez, existen muchos retos desde el punto de vista del cumplimiento normativo y la privacidad que
tratan de dar una respuesta adecuada a los riesgos correspondientes enumerados en el párrafo anterior.

Este capítulo viene a estudiar los diferentes aspectos contemplados anteriormente con objeto de poder
ayudar al lector a establecer pautas para abordar los retos que conlleva el modelo de computación en
la nube desde la perspectiva española. Las razones para ello son, principalmente dos: La primera y más
evidente es que constituye la aportación del capítulo español de la Cloud Security Alliance. La segunda,
obedece a que España cuenta en la actualidad con la normativa más rigurosa en materia de protección de
datos personales. España ha sido el país europeo que ha desarrollado con mayor intensidad, los principios
consagrados por la Directiva 95/46/CE, que a su vez es el marco jurídico más garantista que se conoce,
en materia de protección de datos. Esto permite afirmar que cualquier prestación de servicios en la nube,
que cumpla con los requisitos exigidos por la normativa española, puede cubrir los requisitos exigidos por
las normativas de otros Estados.

Antes de entrar a analizar la normativa española de protección de datos, conviene realizar una referencia
sucinta de los marcos normativos existentes.

4.1.1 Estados Unidos
En Estados Unidos, la protección de datos personales no está considerada como un derecho fundamental.
Existe una política legislativa de mínimos que fomenta la autorregulación en el sector privado. Con un
enfoque mercantilista, se persigue la protección de los derechos de los ciudadanos, desde la perspectiva
de la “protección del consumidor”.

No obstante, existen desarrollos normativos verticales que buscan adaptarse al contexto específico en
cuanto a la naturaleza de los datos, la finalidad de su tratamiento, o la naturaleza responsable de dicho
tratamiento. A modo de ejemplo podemos mencionar: Electronic Communications Privacy Act de 1986,
Electronic Funds Transfer Act, Telecommunications Act de 1996, Fair Credit Reporting de 1970 y Consumer
Credit Reporting Reform Act de 1996, Right to Financial Privacy Act, entre otras.

En cuanto a la aplicación, son los propios titulares de los datos quienes deben velar por el cumplimiento
de la normativa que regula el tratamiento de sus datos, a través del ejercicio de los derechos que se les
reconocen.

4.1.2 Europa
En Europa, la protección de datos personales está considerada como un derecho fundamental. En línea
con una tradición jurídica positivista, se ha acentuado la labor legislativa con el fin de establecer un
sistema garantista (de hecho, el más garantista que existe en la actualidad) en aras de asegurar una la
protección efectiva a los derechos de los ciudadanos.

La Directiva 95/46/CE [Directiva, 1995] constituye el marco europeo de referencia. En esta Directiva
se establecen ciertos principios, que los Estados Miembros ha tenido que transponer en sus respectivos
ordenamientos, a saber:




                                                 4. Cumplimiento legislativo en materia de Privacidad        19
Cloud Compliance Report             Capítulo Español de Cloud Security Alliance




            1.   Información.
            2.   Consentimiento.
            3.   Finalidad.
            4.   Calidad.
            5.   Seguridad.
            6.   Derechos de Acceso, Rectificación, Cancelación y Oposición.
            7.   Autoridad de Control independiente.
            8.   Limitación a las trasferencias internacionales de datos.

El enfoque europeo ha servido también como fuente de inspiración para otras legislaciones, principalmen-
te de corte continental, que han incorporado o están incorporando estos principios, evidentemente para
proteger los derechos de los ciudadanos, pero también, para favorecer el tráfico económico con los países
miembros de la Unión. Argentina,Chile y Colombia y México son algunos ejemplos en este sentido.

4.1.3 Safe Harbor Principles
El término Safe Harbor Privacy Principles, se refiere a los principios de privacidad a los que deben adhe-
rirse las organizaciones estadounidenses, para poder ser importadores de datos personales provenientes
de los Estados miembros de la Unión Europea.

Estos principios fueron publicados en el año 2000 por el Departamento de Comercio de los Estados Uni-
dos. La adhesión a ellos pretende asegurar la aplicación, por parte del importador, de unos niveles de
protección adecuados que sean equiparables a los establecidos por la Directiva.

Con la adhesión, el importador se obliga a observar ciertos principios rectores en tratamiento de datos
personales, como son:

            1. Notificación e información a los titulares, previos a la recogida de datos.
            2. Derecho de oposición a la comunicación de datos a terceros o a los usos incompatibles con el
               objeto inicial de la recogida.
            3. Abstención de transferencia ulterior de datos a terceros que no se hayan adherido a los prin-
               cipios de Safe Harbor.
            4. Obligación de implementar medidas de seguridad.
            5. Calidad de los datos.
            6. Reconocimiento de los derechos de acceso y rectificación a los afectados.
            7. Necesidad de adoptar mecanismos que brinden garantías para la aplicación de los principios.

4.1.4 Marco APEC2
Comparte los principios de protección de datos personales de la Directiva Europea, no obstante, presenta
grandes diferencias en cuanto a la aplicación.

En el modelo europeo, las autoridades de protección de datos regulan y verifican el cumplimiento de
dichos principios, mientras que en el modelo APEC esto se lleva cabo, a través de mecanismos de auto-
regulación verificados por organismos públicos o privados, de modo que no se garantiza que se obligue
desde el Estado.


2
    De las sigas en inglés de Asia-Pacific Economic Cooperation, en español, Foro de Cooperación Económica Asia-Pacífico.



                                                          4. Cumplimiento legislativo en materia de Privacidad              20
Cloud Compliance Report           Capítulo Español de Cloud Security Alliance




Al igual que el modelo estadounidense, existe un enfoque desde el punto de vista consumidor y es un
modelo ex post, en el que una autoridad pública o privada puede intervenir sólo después de que se ha
producido la supuesta violación.

4.1.5 Habéas Data
En los países con el modelo Hábeas Data, la protección de datos se asocia con un derecho a conocer,
actualizar y a rectificar datos. Estos modelos presentan las siguientes características:

         • Existen mecanismos de garantía procesal o judicial.

         • La intervención de la autoridad es siempre ex-post, es decir, la normativa no implica cumpli-
           miento de obligaciones ex-ante por parte de las organizaciones.

         • Inexistencia de autoridades de control.

         • Legitimación personas que han sufrido una lesión en su intimidad por el uso abusivo de sus
           datos.

4.1.6 Resolución de Madrid sobre Estándares Internacionales sobre Protección de Datos Personales
      y Privacidad
Este documento, producto de la labor conjunta de los garantes de la privacidad de casi cincuenta países,
bajo coordinación de la Agencia Española de Protección de Datos, ha desembocado en un texto que trata
de plasmar los múltiples enfoques que admite la protección de este derecho, integrando legislaciones de
los cinco continentes.

Tal y como establece la Disposición Primera del Documento, los Estándares tienen por objeto “Definir un
conjunto de principios y derechos que garanticen la efectiva y uniforme protección de la privacidad a nivel
internacional, en relación con el tratamiento de datos de carácter personal; y Facilitar los flujos internacio-
nales de datos de carácter personal, necesarios en un mundo globalizado”.

Aunque no tiene un carácter vinculante, estos Estándares establecen un compromiso político de quienes lo
han suscrito, en el sentido de servir como referencia a los Estados que en la actualidad no hayan legislado
sobre la materia, y de servir como referencia para la armonización de la normativa existente, en aras
de que la normativa sobre protección de datos y la privacidad no se constituya un obstáculo al comercio
internacional; facilitándose el flujo de los datos de carácter personal y la uniformidad de la misma.

4.2 Contenido del capítulo

El objetivo del capítulo, por tanto, es plasmar los resultados del estudio sobre el cumplimiento normativo y
privacidad en computación en la nube tomando como base la legislación europea y haciendo referencia
a otra normativa cuando sea necesario.

El informe se estructura de la siguiente forma: Un primer apartado de introducción donde se explica la
motivación del análisis, las ventajas, y los riesgos de este modelo de procesamiento.




                                                   4. Cumplimiento legislativo en materia de Privacidad           21
Cloud Compliance Report          Capítulo Español de Cloud Security Alliance




Este segundo apartado donde se explica la estructura y contenido del informe, con una breve explicación
del contenido de cada uno de ellos.
Un tercer apartado con un resumen ejecutivo donde, mediante una visión rápida, el lector se puede hacer
una idea bastante aproximada del cumplimiento normativo en la computación en la nube.

A continuación, el cuarto apartado, estudia con más detalle cada uno de los aspectos que se conside-
ran relevantes a la hora de establecer un modelo de proceso basado en la computación en la nube.
El análisis de cada uno de estos aspectos se estructura de la misma forma, una descripción general,
los aspectos mas relevantes de la situación analizada en base a los modelos de servicio y despliegue
de la nube, la legislación que le aplica y, finalmente, las recomendaciones que se proponen desde
el punto de vista de proveedor o cliente del servicio sin olvidar, cuando sea necesario, el punto de
vista de las personas afectadas. En el apartado de las medidas de seguridad se sigue una estructura
diferente, estudiándose las diferentes medidas desde el punto de vista de la empresa proveedora y de
la empresa que contrata.

El primer punto empieza estudiando la legislación aplicable según el responsable del tratamiento resida en
un país dentro del Espacio Económico Europeo o fuera de él.

El segundo punto estudia la figura del encargado del tratamiento, como proveedor del servicio en la nube,
repasando la subcontratación y otros agentes operadores de telecomunicaciones.

El tercer punto se centra en las medidas de seguridad analizando los principales aspectos de las mismas
como son el documento de seguridad, el control de acceso, la gestión de incidencias, las copias de segu-
ridad y las auditorías.

El cuarto punto trata las transferencias internacionales, tanto desde de la situación en que no exista comu-
nicación de datos a un tercero como cuando se da esta comunicación y la diferenciación de un país con
nivel adecuado de protección o sin nivel adecuado.

El quinto punto aborda el ejercicio de los derechos por los interesados tanto en sus características como
requisitos y riesgos.

El sexto punto analiza el papel de las autoridades de control en tanto a la determinación de la ju-
risdicción a aplicar en el caso de una denuncia o tutela de derechos y la ejecución efectiva de las
resoluciones.

El séptimo punto considera la comunicación de datos a otras autoridades bien por requerimientos de leyes
o de organismos tanto desde el ámbito nacional como de otros países.

La audiencia de este documento son los clientes y usuarios de los recursos ofrecidos mediante modelos de
computación en la nube y los proveedores de los mismos, sirviendo como referencia para solicitar y ofrecer
soluciones en lo relativo a la privacidad de los datos en la nube, el cumplimiento normativo o legal y los
mecanismos de seguridad y acuerdos necesarios para controlarlos.




                                                  4. Cumplimiento legislativo en materia de Privacidad         22
Cloud Compliance Report                Capítulo Español de Cloud Security Alliance




4.3 Legislación aplicable3

4.3.1 Descripción general4
La normativa sobre legislación aplicable a los tratamientos de datos personales se encuentra descrita en
el artículo 4 de la Directiva de Protección de Datos [Directiva 1995]. Este artículo tiene dos partes bien
diferenciadas. La primera, hace referencia a la ley aplicable a responsables de tratamiento que estén esta-
blecidos en un Estado miembro del Espacio Económico Europeo (EEE)5. La segunda, de manera que puede
resultar sorprendente pues podría suponer un cierto grado de aplicación extraterritorial de la Directiva, a
aquellos responsables que, sin estar establecidos en el EEE, utilizan medios situados en el mismo para el
tratamiento de datos personales.

Para el primer caso, el concepto clave para la determinación de la legislación aplicable es el de la ubica-
ción del establecimiento del responsable del tratamiento en conjunción con las actividades de tratamiento
que se llevan a cabo conforme al apartado 1 del artículo 4 de la Directiva, letra a).

Por lo tanto, no siempre existe una única ley aplicable para todas las operaciones de un determinado
responsable de tratamiento de datos personales: Si dicho responsable está establecido en distintos Esta-
dos miembros del EEE y trata datos personales en el ámbito de las actividades de varios de ellos, a cada
uno de estos tratamientos se le aplicaría un Derecho nacional diferente6, lo que nos lleva a considerar el
segundo elemento esencial para determinar la ley aplicable, para qué responsable se lleva a cabo el trata-
miento. Por ejemplo, un responsable establecido en Bélgica tiene tiendas en diversos países europeos (por
ejemplo, Bélgica, Alemania, Portugal, Francia e Italia) pero las acciones de marketing están centralizadas
en Bélgica y todos los datos de los clientes para esta finalidad se tratan en allí. En este caso, y para ese
tratamiento específico, independientemente del lugar en que se recojan los datos, la ley aplicable será la
belga7.

No obstante, esta regla tiene un corolario y es el que se desprende de la aplicación del apartado tercero
del artículo 17 de la Directiva y que se refiere a las medidas de seguridad que deben aplicar los encar-

3
    En este estudio no se abordará la casuística de aquellos servicios que se contratan directamente (ya sea gratuitamente
    o no) por los usuarios finales al proveedor de computación en la nube (ejemplos de ellos son los servicios de correo
    electrónico en la nube o las redes sociales) ni aquellos casos en los que el proveedor de servicios –típicamente un encargado
    de tratamiento en la terminología de protección de datos– se transforma también en responsable por utilizar los datos
    personales para finalidades propias (lícita o ilícitamente) como, por ejemplo, un proveedor de servicios IaaS que utiliza los
    datos confiados a su custodia para, a través de herramientas de minería de datos, establecer perfiles de hábitos de compra
    para su explotación o su venta a terceros.
4
    Para una discusión en profundidad de este asunto se puede consultar el Dictamen 8/2010, sobre Ley Aplicable, del Grupo
    de Trabajo del Artículo 29.
5
    Formado por los estados de la Unión Europea e Islandia, Noruega y Lienchtenstein
6
    Así, ni la nacionalidad ni el lugar de residencia de los afectados ni, incluso, la localización física de los sistemas de
    información donde se tratan datos personales son, en este caso, elementos relevantes para determinar el derecho aplicable
    a un tratamiento.
7
    No hay que confundir ley aplicable con jurisdicción. Podría suceder que una autoridad de control de un estado miembro
    tuviera jurisdicción para dictaminar sobre un determinado tratamiento de datos pero tuviera que hacerlo aplicando la ley
    de otro Estado miembro. En el ejemplo expuesto, en base a lo que establece el artículo 28 de la Directiva, si hubiera una
    reclamación relativa a una acción de marketing llevada a cabo en Francia, la autoridad competente para resolverla sería
    la francesa, pero debería aplicar la legislación belga.



                                                             4. Cumplimiento legislativo en materia de Privacidad                   23
Cloud Compliance Report              Capítulo Español de Cloud Security Alliance




gados de tratamiento de datos establecidos en un Estado del EEE. En efecto, este artículo dispone que los
encargados de tratamiento, además de estar sujetos a lo que dispone la ley del Estado en que está esta-
blecido el responsable del tratamiento, también han de aplicar las medidas de seguridad establecidas por
la legislación del Estado miembro en que estén establecidos y, en caso de que hubiera un conflicto entre
ambas, prevalecerá esta última.

La segunda parte que se mencionaba al inicio de esta sección se refiere a la aplicación de las previsiones
de la Directiva8 a un responsable que, aun no estando establecido en un Estado del EEE recurre “para el
tratamiento de datos personales, a medios, automatizados o no, situados en el territorio de dicho Estado
miembro, salvo en caso de que dichos medios se utilicen solamente con fines de tránsito por el territorio de
la Comunidad Europea”. En este caso, el responsable del tratamiento deberá designar un representante
establecido en el territorio del Estado miembro de que se trate.

Así pues, en el caso de un proveedor de servicios en la nube establecido, por ejemplo, en Estados Unidos,
pero que utiliza, para determinados tratamientos de datos, servidores ubicados en un Estado del EEE, la
legislación aplicable a los mismos será la de este Estado y, de hecho, el proveedor exportará la legislación
europea a los tratamientos de datos personales que lleven a cabo sus clientes.

4.3.2 Aspectos más relevantes
En relación con la legislación aplicable a de responsables ubicados en el EEE, el modelo de servicio o
de despliegue es irrelevante ya que, en cualquier caso, la determinación de la ley aplicable tan solo de-
penderá del Estado en que esté establecido el responsable del tratamiento que ha contratado los servicios
de computación en la nube y no del lugar en que se localicen los proveedores de dichos servicios o los
equipos de tratamiento utilizados por los mismos.

No obstante, también puede tenerse que tomar en consideración la legislación sobre seguridad de otro
Estado miembro si el proveedor de servicios en la nube está establecido en dicho Estado miembro distinto
del cual en el que está establecido el cliente.

Para el caso en que el cliente de un servicio de computación en la nube (que será el responsable de los
tratamientos de carácter personal) no esté establecido en el EEE pero su proveedor de servicios utilice
medios o equipos ubicados en un Estado miembro del EEE para prestarle los servicios, como antes se ha
mencionado, éste le exporta automáticamente la aplicabilidad de los requisitos de la legislación de protec-
ción de datos del país de que se trate9.

4.3.3 Legislación aplicable
Los artículos que regulan la ley aplicable a un tratamiento de datos son el artículo 4 de la Directiva de
Protección de Datos en el que se ha basado el análisis llevado a cabo en este capítulo, el artículo 2 de
la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (en adelante, LOPD) y el artículo
3 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo


8
  En el bien entendido que lo que esta frase significa en la realidad es la aplicación de la legislación que el Estado miembro
  correspondiente haya aprobado al transponer la Directiva. No se tratará el caso descrito en la letra b) del apartado primero
  del artículo 4 por ser un caso residual y de escasa relevancia para el objeto de este estudio.
9
  Como se puede apreciar, en este caso no es suficiente que el proveedor de computación en la nube esté establecido en un
  Estado del EEE sino que utilice medios que sí estén ubicados dentro del EEE.



                                                          4. Cumplimiento legislativo en materia de Privacidad                   24
Cloud Compliance Report               Capítulo Español de Cloud Security Alliance




de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en
adelante, RLOPD)10.

4.3.4 Recomendaciones
Dado que la legislación aplicable a una determinada operación de tratamiento de datos personales no
es algo que dependa de la voluntad de ninguna de las partes vinculadas por el contrato de prestación de
servicios en la nube, no hay mucho margen para realizar recomendaciones específicas. No obstante, se
mencionarán algunos puntos que deberán tenerse en cuenta.

4.3.4.1 Empresa proveedora
Las empresas que utilicen medios situados en el territorio del EEE para prestar servicios a sus clientes de-
berán ser conscientes que exportan la legislación europea a todos aquellos que no estén establecidos en
dicho espacio. Esto implica que las obligaciones de la legislación de protección de datos del Estado miem-
bro que corresponda les resulta de aplicación y que, además, ello les obliga a nombrar un representante
en el Estado de que se trate11.

Si sus clientes están establecidos en el territorio del EEE, las obligaciones relativas a protección de datos
(salvo, quizás, las referentes a medidas de seguridad) serán incumbencia de dichos clientes.

4.3.4.2 Empresa cliente
Si es una empresa establecida en el territorio del EEE, independientemente de donde esté ubicado su proveedor
de servicios en la nube o los sistemas de tratamiento de la información de dicho proveedor, ella será la respon-
sable en términos de protección de datos y le será de aplicación la ley del Estado en que esté establecida.

Si su proveedor está establecido en un Estado miembro diferente, deberá tener en cuenta que puede existir
la necesidad de analizar los requerimientos en materia de seguridad aplicables en el Estado de estable-
cimiento del proveedor y que, en todo caso, si existe alguna incompatibilidad o conflicto entre ambas
normativas, prevalece la del Estado de establecimiento del proveedor.

4.4 Encargado de tratamiento

4.4.1 Descripción general
El concepto de ‘encargado de tratamiento’ se determina en función de dos condiciones básicas: Ser una entidad
independiente del responsable del tratamiento y realizar el tratamiento de datos personales por cuenta de éste12.

10
     De hecho, este artículo no transpone correctamente las normas sobre legislación aplicable de la Directiva, ya que dispone
     que la LOPD solo es de aplicación a tratamientos de datos personales llevados a cabo por responsables establecidos en
     España y que se produzcan en territorio español lo que, como hemos visto, no es lo que establece la Directiva. El artículo
     3 del RLOPD (sin entrar a valorar si ha de prevalecer o no sobre el régimen de la LOPD) ha recogido de manera correcta
     el modelo de la Directiva.
11
     El Grupo de Trabajo del Artículo 29 reconoce en su Dictamen 8/2010 que esta previsión de la Directiva puede ocasionar
     problemas prácticos y económicos pero, aun así, afirma que no existe otra interpretación posible aunque aboga por una
     reflexión sobre este hecho en el marco de la futura revisión de la legislación europea de protección de datos.
12
     Dictamen 1/2010 sobre los conceptos de “responsable del tratamiento” y “encargado del tratamiento” emitido por el
     Grupo de Trabajo del Art. 29. Este dictamen analiza el concepto de encargado del tratamiento, cuya existencia depende
     de una decisión adoptada por el responsable del tratamiento, que puede decidir que los datos se traten dentro de su
     organización o bien delegar todas o una parte de las actividades de tratamiento en una organización externa.



                                                            4. Cumplimiento legislativo en materia de Privacidad                  25
Cloud Compliance Report           Capítulo Español de Cloud Security Alliance




Dentro de la normativa de protección de datos española encontramos la definición de encargado de trata-
miento como “la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo
o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento”13.

Tal como indica la Sentencia de la Audiencia Nacional de 20 de septiembre de 200214, el encargo de
tratamiento se ampara en la prestación de un servicio que el responsable del tratamiento recibe de una
empresa ajena a su propia organización y que le ayuda en el cumplimiento de la finalidad del tratamiento
de datos consentida por el afectado.

Ahora bien, este tratamiento debe delimitarse, concretando el responsable el margen de actuación del
encargado en su función encomendada, o se puede dejar un cierto grado de discrecionalidad sobre cómo
realizar su función en base a los intereses del responsable del tratamiento.

Es aquí donde la figura del encargado de tratamiento se vincula al proveedor de servicios en la nube,
ya que éste presta servicios de negocio y tecnología, que permite al usuario acceder a un catálogo de
servicios estandarizados de forma flexible y adaptativa, permitiendo a este proveedor que establezca los
medios técnicos y de organización más adecuados.

Por lo tanto, teniendo en cuenta la normativa aplicable y las obligaciones que conlleva, el proveedor de
servicios en la nube podrá determinar su responsabilidad como encargado de tratamiento en función de la
tipología de nube (pública, privada, comunitaria o híbrida) y del servicio que decida contratar el respon-
sable de tratamiento de los datos de carácter personal, ya que en función del modelo de despliegue de los
servicios en la nube (modelo SPI), las responsabilidades del proveedor serán diferentes.

4.4.2 Legislación aplicable

4.4.2.1 Proveedores de servicio
La regulación aplicable distingue claramente la figura entre “responsable de tratamiento” y “encargado de
tratamiento”, estableciendo como obligación principal la confidencialidad y seguridad de los datos15.

El acceso a los datos por parte del proveedor de la nube para prestar sus servicios se condiciona, como
premisa esencial, al cumplimiento del régimen establecido por el artículo 12 de la LOPD. Este artículo esta-
blece la obligación de la realización de un contrato formal entre el responsable de los datos, (cliente que
contrata el servicio en la nube) y el encargado del tratamiento (proveedor del servicio en la nube)16.

El cliente que contrata un proveedor de la nube que suponga el acceso a datos de carácter personal, debe
tener claro los requisitos formales que establece el artículo 12 de la LOPD, ya que este artículo obliga a
que el contrato “conste por escrito o en alguna otra forma que permita acreditar su celebración y conteni-
do”. Además existe jurisprudencia17 que indica que, para la validez de la comunicación de los datos del
artículo 12 no es suficiente la existencia de un contrato, también es necesario que detalle las condiciones


13
   Ver Art. 3. g.) Ley Orgánica de Protección de Datos.
14
   Sentencia de la AN, Sala de lo Contencioso-administrativo, Sección 1ª, 20 sep. 2002 (Rec. 150/2000).
15
   Ver artículos 2(d) y (e) de la Directiva 95/46/CE, artículo 3.g LOPD y artículo 5.1.i RLOPD.
16
   Ver artículos 16 y 17 de la Directiva 95/46/CE. Artículo12.2 LOPD y artículos 20 y 22 RLOPD.
17
   Sentencia de la Audiencia Nacional, Sala de los Contencioso-administrativo, sección 1ª, 16 mar. 2006 (Rec. 427/2004).



                                                        4. Cumplimiento legislativo en materia de Privacidad               26
Cloud Compliance Report               Capítulo Español de Cloud Security Alliance




que se establecen en dicho precepto y que garantice la seguridad de los datos impidiendo el acceso a los
mismos de terceros18.

En este contrato debe figurar el siguiente contenido:

             1. Especificar y delimitar la finalidad para la que se comunican los datos (Art. 12.2 LOPD).

             2. Establecer expresamente que el proveedor de la nube no puede comunicar estos datos a terce-
                ros, ni siquiera para su conservación (Art. 12.2 LOPD).

             3. Implementar las medidas de seguridad que debe cumplir el responsable en función del tipo de
                datos que contenga el fichero y el nivel de seguridad aplicado (Art. 9 y 12.2 LOPD).

             4. Delimitar el tiempo de ejecución del servicio.

             5. Determinar de forma concreta las condiciones de devolución de los datos o destrucción de los
                datos una vez cumplido el servicio (Art. 12.3 LOPD y 22RLOPD).

             6. Existencia de una clausula de confidencialidad, tanto al proveedor de la nube, como a sus
                empleados que puedan acceder a los datos.

             7. Establecer la obligación del encargado, en el caso de que los interesados ejerciten sus dere-
                chos ARCO19 ante el mismo, de dar traslado de la solicitud al responsable. A excepción, en el
                caso de que exista un acuerdo entre el proveedor de la nube y el cliente de que dicha gestión
                la realice directamente el encargado de tratamiento.

Otro criterio a tener en cuenta en base a la normativa de protección de datos es la obligación del encar-
gado de tratamiento a disponer de un Documento de Seguridad, ya que el proveedor de la nube, según
el tipo de nube y el servicio que preste al responsable, encaja como agente tratante definido en el artículo
82.2 del RLOPD. Este documento de seguridad debe cumplir con los requisitos que le exige el artículo 88
del RLOPD.

Por lo tanto, podemos decir que, tanto el encargado de tratamiento como el responsable del tratamiento,
tienen las mismas obligaciones de cumplimiento de implementación de las medidas de seguridad que exi-
ge la normativa. Además, se debe tener en cuenta que el RLOPD, en su artículo 20.2, exige al responsable,
es decir al cliente que contrata el servicio en la nube, que vigile el cumplimiento por parte del encargado
de tratamiento, y por tanto, se obliga al responsable tener una diligencia a través de algún sistema que
permita la realización de controles periódicos.

En cuanto a la posibilidad de existencia de subcontratación de servicios externos por parte del proveedor
de computación en la nube, en los cuales estos subencargados tengan acceso a datos de carácter perso-


18
     Los aspectos de contratación se tratan específicamente en el Capítulo 7, no obstante, se incluyen en este capítulo los
     requerimientos de contratación específicos en materia de privacidad establecidos por la LOPD.
19
     Acrónimo utilizado comúnmente para referirse a los derechos de acceso (A), rectificación (R), cancelación (C) y oposición
     (O) de los titulares de los datos.



                                                            4. Cumplimiento legislativo en materia de Privacidad                 27
Cloud Compliance Report             Capítulo Español de Cloud Security Alliance




nal, la ley no descarta la legitimidad de esta posibilidad, pero obliga a cumplir los siguientes requisitos
(incluidos en el artículo 21 RLOPD):

            • Que los servicios que se pretende subcontratar se hayan previsto en el contrato entre el provee-
              dor y el cliente de este servicio.

            • Que se especifique en el contrato el contenido detallado del servicio subcontratado.

            • El cliente debe establecer las instrucciones de cómo tratar los datos.

En definitiva, las empresas que deseen contratar un servicio de computación en la nube, deben tener
en cuenta que existe una normativa estatal que impone al encargado del tratamiento la obligación de
procesar los datos del cliente de acuerdo con el sistema de seguridad establecido por la regulación de
protección de datos.

4.4.2.2 Otros agentes
En la prestación de los servicios del proveedor de computación en la nube intervienen otros agentes sin
los que no sería posible la comunicación y el acceso a la información en la nube. Dichos agentes son los
operadores de telecomunicaciones y los prestadores de servicios de acceso a la red.
Estos operadores explotan las redes públicas de comunicaciones gestionando y garantizando el tráfico de
datos que circulan por su infraestructura o prestan servicios de comunicaciones electrónicas, disponibles al
público, consistentes en permitir el acceso a las redes públicas de comunicaciones entre otros servicios.

En tal supuesto, los datos de los abonados o usuarios son aquellas personas físicas o jurídicas que contra-
tan el servicio ya sea directamente al operador que hace a la vez de proveedor de servicios de Internet
(ISP, por sus siglas en inglés) o a través de un tercero que alquila los servicios de explotación al operador
de red.

Por lo tanto, al considerarse sujetos obligados en base a la siguiente normativa20:

            • Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones
              electrónicas y a las redes públicas de comunicaciones.

            • Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones.

Se establece una serie de requisitos, en relación a la protección de datos, que se deben cumplir21:

            • Identificar al personal autorizado para acceder a los datos que son objeto de esta Ley.

            • Adoptar medidas de seguridad con sujeción a lo dispuesto en el Título VIII del RLOPD.

En base a la normativa aplicable se establece que el operador de telecomunicaciones que no preste ser-
vicios de acceso a la red directamente al abonado podría considerarse prestador de servicios sin acceso

20
     Esta legislación se analiza en detalle en el Capítulo 5.
21
     Ver Art. 8 de la Ley 25/2007 “Protección y seguridad de los datos” y Art. 34 de la Ley 32/2003 “Protección de datos
     de carácter personal”.



                                                         4. Cumplimiento legislativo en materia de Privacidad              28
Cloud Compliance Report             Capítulo Español de Cloud Security Alliance




a datos personales de los ficheros de los abonados o usuarios (que actúan en calidad de responsables
de tratamiento)22 al tener prohibido en base al artículo 3.3 de la ley 25/2007 la conservación de ningún
dato que revele el contenido de las comunicaciones a excepción de los supuestos de interceptación de las
comunicaciones autorizadas en base a lo contemplado en leyes especiales. Por lo tanto, deberá cumplir
con el artículo 83 del RLOPD.

El ISP podría equipararse a la figura del operador de telecomunicaciones, en el supuesto que se limite a
prestar servicio de acceso a la red y, por tanto, se considere que presta un servicio sin acceso a datos
personales de los ficheros de los abonados o usuarios debido a la prohibición de conservar ningún dato
que revele el contenido de las comunicaciones según el artículo 3.3 de la ley 25/2007 a excepción de
los supuestos de interceptación de las comunicaciones autorizadas en base a lo contemplado las leyes
especiales. Por lo tanto, al igual que el operador de telecomunicaciones, también deberá cumplir con el
artículo 83 del RLOPD.

En el supuesto de que el ISP preste servicios complementarios de housing o hosting de correo electrónico
o disco duro virtual, por ejemplo, debería considerarse encargado de tratamiento de los datos contenidos
en los ficheros de los abonados y por tanto cumplir con los requisitos del artículo 12 LOPD y artículos 20
a 22 del RLOPD.

4.4.3 Recomendaciones
Abordando el tratamiento de datos desde un punto de vista de ciclo de vida y teniendo en cuenta las
obligaciones y el cumplimiento legal, se pueden enumerar una serie de recomendaciones básicas para
cada uno de los perfiles posibles: Empresa proveedora de servicios en la nube, empresa contratante de
las mismas y usuarios23.

El concepto de tratamiento de datos engloba las fases de creación, almacenamiento, uso, compartición o
comunicación, archivo y cancelación de la información. En concreto, y con el fin de no solaparse con otros
estudios, en esta fase se va a centrar en el almacenamiento, uso y archivo de la información.

Tres conceptos básicos se deben tener en cuenta en relación al tratamiento de los datos, sea cual sea el
ámbito de aplicación o actuación:

            • Recurso: Información sobre la que se desea actuar.

            • Acción: Tipo de actuación que se quiere realizar sobre un recurso.

            • Actor: Usuario que desea realizar una acción determinada sobre un recurso en concreto.

La combinación de estos tres conceptos y cómo se gestionan, establecerá el ámbito de actuación en rela-
ción al tratamiento de los datos.




22
     Delimitación de la figura de responsable y encargado en el Operador de telecomunicaciones contemplada en el Dictamen
     1/2010 del Grupo del Artículo 29 sobre los conceptos de «responsable del tratamiento» y «encargado del tratamiento»
     (WP 169): http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_es.pdf .
23
     Personas afectadas por el tratamiento de sus datos personales.



                                                          4. Cumplimiento legislativo en materia de Privacidad              29
Cloud Compliance Report           Capítulo Español de Cloud Security Alliance




4.4.3.1 Empresa proveedora
Las responsabilidades del proveedor se relacionan según el tipo de servicio que se contrate, ya que el tipo de
servicio nos indica el grado de responsabilidad que le afecta. Por eso, el proveedor es responsable de pro-
porcionar los controles de medidas de seguridad que exige la normativa, en base al servicio contratado.

El proveedor de computación en la nube será considerado encargado de tratamiento de los datos conte-
nidos en los ficheros de los clientes y, por tanto, deberá cumplir con los requisitos del artículo 12 LOPD y
artículos 20 a 22 del RDLOPD.

Los proveedores de computación en la nube, como usuarios de las redes de comunicación y con provee-
dor propio de ISP, deberán verificar el cumplimiento legal y legitimación de estos últimos agentes que le
permiten prestar el servicio a sus clientes finales.

Tal verificación previa de cumplimiento normativo será necesaria para que los contratos de encargado de
tratamiento con los clientes finales puedan reflejar la información referente a los subencargados que per-
mitirán la prestación de servicio. En las cláusulas del contrato se deberá resaltar la finalidad de dichos su-
bencargos, la identificación geográfica de los agentes operadores y ley aplicable, así como una remisión
de las medidas de seguridad aplicables y el compromiso de responsabilidad de cualquier incumplimiento
normativo. Cualquier incumplimiento de las estipulaciones del contrato será asumido directamente por la
empresa proveedora como responsable directo ante el propio cliente (responsable de fichero o tratamiento)
y ante las autoridades competentes de protección de datos.

De manera general, la principal consideración sería que el papel del proveedor debe ser el de proporcionar
las herramientas necesarias y suficientes al propietario o responsable de la información en función del tipo de
nube (IaaS, PaaS, SaaS), siguiendo las pautas establecidas por la legislación actual y las normativas o pro-
cedimientos que la organización propietaria de la información tenga desplegadas. En consecuencia con lo
comentado, desde el punto de vista de ciclo de vida del tratamiento de la información hay que considerar:

         • Almacenamiento
         o Control de acceso a la información.
         o Gestión de la documentación (meta-información que lleva asociada la documentación o informa-
           ción). En este punto, es importante remarcar que el tipo de clasificación que se defina en combi-
           nación con las capacidades de actuación que un usuario pueda poseer, proporciona un marco
           de control de acceso y gestión de la documentación muy avanzada, granular y programable a
           cualquier escenario, que es uno de los objetivos principales de cualquier tipo de nube.
         o Cifrado de la información.
         o Trazabilidad y auditoría.

         • Uso
         o Trazabilidad y auditoria.
         o Lógica de aplicación.
         o Control de acción sobre la información.

         • Archivo
         o Cifrado de la información en medios de almacenamiento de medio-largo plazo.
         o Gestión de activos y trazabilidad.




                                                   4. Cumplimiento legislativo en materia de Privacidad           30
Cloud Compliance Report               Capítulo Español de Cloud Security Alliance




4.4.3.2 Empresa cliente
Todo cliente, responsable del tratamiento de datos personal, que contrata la prestación de un servicio en
la nube, debe velar que el encargado del tratamiento reúna e implante las garantías para el cumplimiento
de las obligaciones en virtud de la normativa en materia de protección de datos.

El propietario de la información debe analizar los riesgos sobre el ciclo de vida de la información y los acti-
vos que lo contienen y gestionan. Por ello, la normativa de protección de datos y las diversas normativas de
seguridad de la información establecen la necesidad de llevar a cabo una auditoría interna o externa.

Para garantizar la trazabilidad y auditoría se recomienda establecer en el contrato una clausula contrac-
tual del derecho a auditar, de manera que el proveedor de la nube acepte ser auditado. Sobre todo en este
caso, en que el propietario de la información tiene responsabilidades de cumplimiento normativo24.

También es recomendable desarrollar un proceso para recopilar evidencias del cumplimiento normativo,
incluyendo los registros de auditoría e informes de la actividad, gestión y procedimientos25.

También podría darse el caso de generar contratos de adhesión donde el nivel de seguridad aplicable a la
prestación del servicio en la nube deberá ser indicado por parte del responsable del fichero y este último
aceptar en bloque las medidas adoptadas por su prestador de servicios de computación en la nube.

En conclusión, se debe prestar atención a la elección de un proveedor de la nube, verificando que pro-
porciona suficientes medidas de seguridad técnicas y medidas organizativas que rigen el tratamiento a
realizar, y garantizar el cumplimiento de dichas medidas.

De manera general, podríamos decir que el cliente, con el fin de cumplir las obligaciones del responsable de
tratamiento hará uso de las herramientas y técnicas que el proveedor le ofrezca. En consecuencia con lo co-
mentado, desde el punto de vista de ciclo de vida del tratamiento de la información deberíamos considerar:

             • Almacenamiento
             o Control de acceso a la información.
             o Gestión de la documentación.
             o Cifrado de la información.
             o Trazabilidad y auditoría. En este punto sería interesante que el proveedor ofreciese la posibili-
               dad de programar diferentes tipos de alertas que avisen al contratante de situaciones de riesgo
               o pérdida de información.

	            •	Uso
             o Trazabilidad y auditoria.
             o Lógica de aplicación.
             o Control de acción sobre la información.

	            •	Archivo
             o Cifrado de la información en medios de almacenamiento de medio-largo plazo.
             o Gestión de activos y trazabilidad.

24
     Este aspecto se trata con mayor generalidad en el apartado 7.10 Auditabilidad.
25
     Para un análisis más detallado de este aspecto se puede consultar el Capítulo 8.



                                                            4. Cumplimiento legislativo en materia de Privacidad   31
Cloud Compliance Report            Capítulo Español de Cloud Security Alliance




4.4.3.3 Usuarios
En el caso de los usuarios, debemos asegurar que puedan ejercer sus derechos, al igual que se debe ase-
gurar el cumplimiento de sus derechos fuera de la nube:

            • Almacenamiento
            o Control de acceso a la información.
            o Trazabilidad.

	           •	Uso
            o Trazabilidad.
            o Control de acción sobre la información.

4.5 Medidas de seguridad

4.5.1 Empresa proveedora
Los proveedores de servicios en la nube disponen, por definición, de una infraestructura distribuida sobre
la que deberán desarrollar un marco de control a nivel de los datos que permita trazar en todo momento
su localización y el tratamiento de los mismos. Adicionalmente, el proveedor del servicio en la nube puede
subcontratar parte de sus servicios a terceros. En esos casos, el proveedor deberá adoptar las medidas
necesarias para asegurar que el proveedor subcontratado aplica las medidas necesarias para asegurar la
privacidad y confidencialidad de los datos.26

Sin embargo, independientemente del modelo de servicios, las empresas proveedoras de servicios en la
nube, al igual que la totalidad de las entidades que llevan a cabo cualquier tipo de actividad en España,
están afectadas directamente por la LOPD así como su desarrollo reglamentario (RLOPD).

4.5.1.1 Documento de seguridad
Aquellas empresas que operen en España deberán disponer de un ‘Documento de Seguridad’ que descri-
ba las medidas de seguridad aplicadas para proteger los ficheros que contengan datos personales de sus
empleados, clientes y/o proveedores, tal como indica el artículo 88 del RLOPD. Para el tratamiento en la
nube se tendrá especial cuidado en detallar qué tipos de datos se están o van a tratar y el nivel que deberá
aplicar la empresa proveedora de servicios en la nube.

La empresa proveedora de servicios en la nube deberá facilitar las herramientas de auditoría que la em-
presa contratante requiera para cumplir con sus obligaciones.

4.5.1.2 Responsable de Seguridad
En el Documento de Seguridad se indicará el o los responsables de seguridad designados por el proveedor
de servicios en la nube.

4.5.1.3 Control de acceso e identificación
En esta apartado nos estamos refiriendo al control de acceso a la información que ejerce una organización
ante la petición de acceso de un usuario. No nos estamos refiriendo a la comunicación de la información
entre agentes o aplicaciones, es de suponer que si durante el flujo del proceso de acceso a los datos, se

26
     En el Capítulo 6 se analiza en detalle la implantación de Sistemas de Gestión de Seguridad de la Información y la
     interrelación entre sistemas de clientes y proveedores de servicios en la nube.



                                                        4. Cumplimiento legislativo en materia de Privacidad             32
Cloud Compliance Report               Capítulo Español de Cloud Security Alliance




ha alcanzado el nivel de control de acceso, se han cumplido todas las restricciones aplicables en el nivel
de comunicación y transmisión de la información.

El proveedor del servicios en nube (en función del tipo de servicio) deberá proporcionar las herramientas
necesarias y suficientes al propietario o responsable de la información, siguiendo las pautas establecidas
por la legislación actual y las normativas o procedimientos que la organización propietaria de la informa-
ción tenga desplegadas.

Para ello, será necesario disponer de un buen sistema de clasificación de la información sobre el que apo-
yarse a la hora de aplicar las medidas de seguridad, incluido las de control de acceso e identificación27.

En este punto, es importante remarcar que el tipo de clasificación que se defina en combinación con las
capacidades de actuación que un usuario pueda poseer, proporciona un marco de control de acceso y
gestión de la información muy avanzada, granular y programable a cualquier escenario, que es uno de
los objetivos principales de cualquier tipo de nube.

Si nos centramos en la LOPD, el nivel de control de acceso trata el consentimiento explícito por parte del
afectado (LOPD), es decir, a quién se le permite el acceso y para qué. Estos controles se reflejan en un
conjunto de políticas de autorización/acceso que serán definidas y gestionadas por parte del proveedor
y/o por el propietario de la información.

4.5.1.4 Gestión de incidencias
De acuerdo con lo estipulado en los Artículos 90 y 100 (nivel bajo y medio) del RLOPD, el proveedor
de servicios en la nube deberá disponer de un procedimiento de notificación, gestión y respuesta de las
incidencias, entendiendo por “incidencia” cualquier anomalía que afecte o pueda afectar a la seguridad
de los datos.

Ante cualquier anomalía que afecte a los datos carácter personal el proveedor de servicios en la nube
deberá notificarla inmediatamente al cliente que ha delegado la gestión de los datos en el proveedor.

4.5.1.5 Copias de seguridad y recuperación
Para todo proveedor de servicios de en la nube la disponibilidad de los servicios es vital para su negocio,
dada la multiterritorialidad de sus clientes. En este escenario, es fundamental disponer de un sistema de
copias de seguridad, así como de un plan de recuperación de la información almacenada.

Desde un punto de vista LOPD, es importante tener en mente que el propietario o responsable de la infor-
mación es el encargado de decidir cómo debe ser almacenada la documentación. El proveedor del servi-
cio en la nube únicamente deberá proporcionar las herramientas necesarias para que se pueda gestionar
cómo se va a almacenar la documentación.

4.5.1.6 Auditorias
El auditor es la figura garante del cumplimiento de unas buenas prácticas y de la existencia de un nivel de
control suficiente por parte del proveedor del servicio de computación en la nube, así como de posibles


27
     La clasificación de la información se trata en detalle en el capítulo 6 relativo a los Sistemas de Gestión de Seguridad de
     la Información.



                                                            4. Cumplimiento legislativo en materia de Privacidad                  33
Cloud Compliance Report         Capítulo Español de Cloud Security Alliance




terceros a los que se hayan cedido los datos para su tratamiento. Para ello, el auditor, en el caso de que el
proveedor de servicios en la nube acepte ser auditado, deberá ser un tercero independiente.

Uno de los retos fundamentales del auditor será la obtención de evidencias de la realización de las tareas
de control interno, así como la ubicación física de los datos.

Por ello, el trabajo del auditor, dada la dispersión intrínseca a la arquitectura de la computación en la nube
tendrá que adoptar un enfoque multi-territorial.

La cuestión fundamental en este caso es cómo el propietario de la información (y el responsable de segu-
ridad) tiene acceso y control de la trazabilidad y auditoría de su información y de los accesos que se han
realizado sobre ella. Este aspecto es vital para el cumplimiento del marco legal en relación a la protección
de datos personales y en relación a determinadas normativas de seguridad de la información.

Es importante señalar que el proveedor de servicios en la nube deberá proporcionar las herramientas
necesarias para que el propietario pueda ejercer sus obligaciones, ofreciendo un marco de gestión de la
trazabilidad y auditoría de los accesos permitidos y los accesos no permitidos, así como un registro de las
incidencias ocurridas relativas a los datos de carácter personal.

Asimismo cabe destacar la diferencia de planteamiento cuando la información está localizada en un único
punto o bien está distribuida por un número determinado de nubes. Este aspecto es transparente para el
propietario o responsable de la información, pero no para el proveedor de servicios en la nube, ya que
deberá desplegar un sistema de gestión y correlación de eventos de seguridad (SIEM) o similar en entorno
colaborativo según sea el caso.

4.5.1.7 Telecomunicaciones
El proveedor de servicios en la nube deberá proporcionar los mecanismos adecuados para proteger la
confidencialidad y privacidad de la información que circule a través de sus sistemas e infraestructuras de
comunicaciones. Para ellos, deberá aplicar medidas criptográficas o de cifrado que protejan la informa-
ción de accesos no autorizados (por ejemplo, SSL-TLS, IPSec, Kerberos, etc.)

4.5.2 Empresa cliente
El cliente es donde empieza y acaba el servicio. Son sus datos o los de sus clientes los que debe proteger
directamente o a través del proveedor de servicios en la nube. El cliente es el responsable de definir la
política de seguridad y privacidad que aplicar a sus datos.

Podemos agrupar a los clientes en base a:

	        • Modelo de “Cloud”
	        • Tamaño de su Organización

Modelo de “Cloud”
	     • Infrastructure as a Service (IaaS)
        El cliente es el responsable de la mayor parte de los controles de seguridad, incluyendo control
        de acceso de las aplicaciones, gestión de identidades de usuarios, etc.




                                                   4. Cumplimiento legislativo en materia de Privacidad          34
Cloud Compliance Report              Capítulo Español de Cloud Security Alliance




	            • Platform as a Service (PaaS)
               El cliente gestiona y controla las aplicaciones de software y, por lo tanto, es responsable de los
               controles de aplicación.

	            • Software as a Service (SaaS)
               El cliente es un mero usuario o receptor del servicio que delega toda la responsabilidad en el
               proveedor de servicios en la nube. El cliente centrará sus esfuerzos en la supervisión de los
               Acuerdos de Nivel de Servicio (ANS) y de las medidas de seguridad. Dependerá de la infor-
               mación proporcionada por el proveedor.

Modelo de Organización
Las personas jurídicas actúan como intermediarios entre las personas físicas (clientes, empleados, proveedores,
etc.) y el proveedor de servicios en la nube. Son los custodios de los datos obtenidos de sus propios clientes.

             • Grandes Corporaciones Multinacionales: Se trata de entornos muy complejos con gran cantidad de
               datos procedentes de distintos países con diferentes requisitos. Disponen de una estructura de con-
               trol interna que deberá adaptarse a las circunstancias de la computación en la nube. Su herramienta
               básica de gestión será un Acuerdo de Nivel de Servicio (ANS) que permita regular la relación. La
               principal dificultad estará en detectar incumplimientos y hacer que se respete el ANS28.

             • Pequeña y Mediana Empresa: Suele tratarse de organizaciones que carecen de un marco
               de control interno o es muy limitado, por lo que deberán confiar en la debida diligencia del
               proveedor en la prestación del servicio y el cumplimiento de la legislación vigente. Sus deci-
               siones de abogar por la computación en la nube dependerá de cuestiones económicas y de la
               confianza que generen las soluciones basadas en la misma. En este grupo estarían incluidos
               microempresas, autónomos y profesionales liberales.

En este caso, aplicarán los mismos requisitos que al proveedor de servicios en la nube. Sin embargo, en
este caso el Documento de Seguridad deberá tener en cuenta que la gestión de muchos de los procedi-
mientos de gestión de la información corresponderá al proveedor.

4.5.2.1 Responsable de seguridad
El responsable de seguridad es la figura encargada de definir las medidas de seguridad a implantar para
asegurar la privacidad y confidencialidad de los datos, de acuerdo con los requisitos de cada país.

El responsable de seguridad tiene la difícil misión de armonizar los diferentes requisitos de tal modo que
den como resultado un marco de control coherente.

El responsable de seguridad debe realizar una labor de coordinación con el proveedor de servicios en la
nube e internamente, dentro de su organización. Cabe destacar, la necesidad de colaboración entre los
responsables de seguridad del proveedor de servicios en la nube y del cliente.

Asimismo, deberá supervisar la implantación de las medidas de seguridad definidas y monitorizar de for-
ma periódica su cumplimiento y la adecuada resolución de las anomalías que se detecten. La preocupación
del responsable de seguridad ahora es la información (los datos), no el contenedor o la infraestructura.

28
     Para un análisis más detallado de los Acuerdos de Nivel de Servicio, consultar el apartado 7.12



                                                           4. Cumplimiento legislativo en materia de Privacidad      35
Cloud Compliance Report          Capítulo Español de Cloud Security Alliance




Son especialmente sensibles las trasferencias de datos entre países, donde los datos de un país A viajan a
un país B con requisitos distintos en materia de privacidad (como veremos en el siguiente apartado).

4.5.2.2 Control de acceso e identificación
La empresa que contrata servicios en la nube deberá definir las medidas de control de acceso a la infor-
mación de carácter personal de sus empleados, clientes o proveedores en base a su clasificación y nivel
de seguridad (alto, medio o bajo).

Asimismo, deberá asegurar la posibilidad de acceso de las personas a sus datos personales para su con-
sulta, modificación o eliminación.

4.5.2.3 Gestión de incidencias
El responsable de seguridad del cliente deberá conocer y validar el procedimiento de notificación, gestión
y resolución de incidencias del proveedor de servicios en la nube. Asimismo, deberá supervisar la adecua-
da resolución de las incidencias detectadas.

4.5.2.4 Copias de seguridad y recuperación
El cliente deberá conocer y validar el procedimiento de realización y recuperación de copias de seguridad
de su proveedor de servicios en la nube.

Asimismo, se deberá acordar un plan de copias adecuado con el propietario de los datos y con el proveedor.

El responsable de seguridad del cliente deberá supervisar la adecuada ejecución de dichos procedimien-
tos de copia y recuperación de los datos.

4.5.2.5 Auditorias
Tal y como se especifica en el RLOPD, el responsable de seguridad será responsable de que se lleve a cabo
una auditoria bienal (excepto en el caso de ficheros de nivel bajo) con objeto de validar el cumplimiento
de los requerimientos de dicho reglamento. En caso de que se produzcan cambios significativos sobre los
sistemas de información o instalaciones, se realizará una auditoría de carácter extraordinario, a partir de
la cual se reiniciará el cómputo de los dos años hasta la siguiente auditoría.

Para aquellos datos cuya gestión se delega en el proveedor de servicios en la nube, se deberá obtener la
conformidad correspondiente, bien a través de una auditoría directa por parte del cliente o bien que el
proveedor proporcione una auditoría tipo SAS 70 o ISAE 3402 que incluya en su alcance la validación
del cumplimiento de los requisitos exigidos por la LOPD.

4.6 Transferencias Internacionales

4.6.1 Descripción general
Las transferencias internacionales de datos de carácter personal tienen una regulación específica que se ha
de considerar para la computación en la nube, dado el frecuente carácter transnacional de ésta.

No se van a considerar en este apartado las cesiones o comunicaciones de datos a otro responsable de fi-
chero, dado que en ese caso se deberá cumplir la regulación correspondiente pero el hecho de estar en un
caso de computación en la nube no supone implicaciones adicionales. Asimismo, no se van a considerar
los aspectos relacionados con la seguridad de la transferencia que son considerados en el apartado 4.5.



                                                  4. Cumplimiento legislativo en materia de Privacidad        36
Cloud Compliance Report              Capítulo Español de Cloud Security Alliance




Por tanto, se contemplan los movimientos transfronterizos de datos que no sean considerados cesión o
comunicación de datos. Esta situación se da en dos casos:

             • El movimiento de datos transfronterizo lo realiza el responsable del tratamiento sin comunicar
               los datos a terceros.

             • El movimiento de datos transfronterizo implica el acceso de un tercero a los datos, pero dicho
               acceso es necesario para la prestación de un servicio al responsable del tratamiento29. Dicho
               tercero actuaría como ‘encargado del tratamiento’.

En ambos casos, al no tratarse de una comunicación de datos desde el punto de vista de la legislación
sobre protección de datos, no es preciso el permiso del interesado aunque sí aplica la regulación referente
a las transferencias internacionales de datos.

4.6.2 Legislación aplicable
Las transferencias internacionales de datos de carácter personal están reguladas en:

             • Capítulo IV “Transferencia de datos personales a países terceros” de la Directiva 95/46/CE
               [Directiva 1995].

             • Título V “Movimiento internacional de datos” de la LOPD.

             • Título VI “Transferencias Internacionales de datos” del RLOPD.

Un aspecto clave en la regulación aplicable es si la transferencia se hace a un país con un nivel de protec-
ción adecuado o a un país que no tiene un nivel adecuado.

Los países entre los que los datos se pueden mover sin ningún requisito adicional a los de los movimientos
dentro del propio país son los 27 estados miembros de la Unión Europea y los tres países miembros del
EEE. Adicionalmente, la Comisión Europea ha reconocido hasta ahora30 que tienen un nivel de protec-
ción adecuado los siguientes países: Suiza, Canadá, Argentina, Jersey, Isla de Man, los principios sobre
privacidad Safe Harbor del Departamento de Comercio de los Estados Unidos y la transferencia del “Air
Passenger Name Record” a la Oficina de Aduanas y protección de fronteras de los Estados Unidos.

La regulación para cada uno de estos dos casos es:

             • País de la UE, EEE o con un nivel adecuado de protección de datos. El movimiento transfron-
               terizo de datos no implica requisitos adicionales a los movimientos dentro del país, salvo su
               identificación en la notificación del fichero al Registro General de Protección de Datos.

             Asimismo se deberá tener en cuenta:

                       o Movimientos realizados por el responsable del tratamiento: Deberá cumplir los requi-
                         sitos de seguridad establecidos en el título VIII del RLOPD.

29
     Ver artículo 12 de la LOPD.
30
     Ver información actualizada en http://ec.europa.eu/justice/policies/privacy/thridcountries/index_en.htm



                                                          4. Cumplimiento legislativo en materia de Privacidad   37
Cloud Compliance Report             Capítulo Español de Cloud Security Alliance




                     o Movimientos con participación de un encargado del tratamiento: Deberá cumplir los
                       requisitos para la prestación de este tipo de servicios (artículo 12 LOPD y artículos 20
                       a 22 del RLOPD).

                     o Movimientos dentro de un grupo multinacional. Se puede hacer de dos maneras:

          • Cumplir los requisitos para los encargados del tratamiento (artículo 12 LOPD y artículos 20 a
            22 del RLOPD)

          • Establecer unas ‘Binding Corporate Rules’ (BCR)31 que regulen los movimientos de datos.

          • País sin un nivel adecuado de protección de datos

             En este caso, el movimiento transfronterizo de datos tiene los mismos requisitos de legi-
             timidad que el anterior y en todos los casos será necesario recabar la autorización de la
             autoridad competente, el Director de la Agencia Española de Protección de Datos, en
             el caso español (art. 70 del RLOPD). Asimismo, se deberá incluir la información so-
             bre la transferencia en la notificación al Registro General de Protección de Datos.

             Para que el Director conceda el permiso, deberá existir un contrato escrito entre el expor-
             tador y el importador en el que consten las necesarias garantías de respeto a la pro-
             tección de la vida privada de los afectados y a sus derechos y libertades fundamenta-
             les y se garantice el ejercicio de sus respectivos derechos. A tal efecto, se considerará
             que establecen las adecuadas garantías los contratos que se celebren de acuerdo con lo
             previsto en las Decisiones de la Comisión Europea sobre cláusulas contractuales32.

             Los grupos multinacionales pueden optar por el modelo general basado en contratos caso
             por caso o adoptar y conseguir la aprobación por la autoridad competente de unas normas o
             reglas internas (Binding Corporate Rules) en que consten las necesarias garantías de respeto
             a la protección de la vida privada y el derecho fundamental a la protección de datos de los
             afectados y se garantice el cumplimiento de la regulación sobre la materia.

4.6.3 Aspectos más relevantes
En general, la responsabilidad sobre el control de legalidad, en todos sus aspectos, respecto de las condi-
ciones para legitimar las transferencias internacionales de datos recae en el cliente de servicios en la nube
que será el responsable desde el punto de vista de la protección de datos personales y quien deberá tener
en cuenta las consideraciones realizadas en el punto anterior.


31
    Ver documentos wp153 y wp154 del Grupo del artículo 29 en http://ec.europa.eu/justice/policies/privacy/
    workinggroup/wpdocs/2011_en.htmo
32
    - 2010/87/EC: Commission Decision of 5 February 2010 on standard contractual clauses for the transfer of personal data
      to processors established in third countries under Directive 95/46/EC of the European Parliament and of the Council
   - 2004/915/EC: Commission Decision of 27 December 2004 amending Decision 2001/497/EC as regards the
      introduction of an alternative set of standard contractual clauses for the transfer of personal data to third countries
   - 2001/497/EC: Commission Decision of 15 June 2001 on standard contractual clauses for the transfer of personal data
      to third countries, under Directive 95/46/EC



                                                          4. Cumplimiento legislativo en materia de Privacidad                  38
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0
Cloud compliance report_csa-es_v.1.0

Contenu connexe

Similaire à Cloud compliance report_csa-es_v.1.0

Arcert --manual de-seguridad_en_redes_informaticas
Arcert --manual de-seguridad_en_redes_informaticasArcert --manual de-seguridad_en_redes_informaticas
Arcert --manual de-seguridad_en_redes_informaticasCynthia Gonzalez
 
Manual de seguridad
Manual de seguridadManual de seguridad
Manual de seguridadJORGE MONGUI
 
Manual de seguridad
Manual de seguridadManual de seguridad
Manual de seguridadJAV_999
 
Guia de seguridad en redes
Guia de seguridad en redesGuia de seguridad en redes
Guia de seguridad en redesJo Dan
 
La importancia-del-factor-humano-en-la-seguridad-informática
La importancia-del-factor-humano-en-la-seguridad-informáticaLa importancia-del-factor-humano-en-la-seguridad-informática
La importancia-del-factor-humano-en-la-seguridad-informáticaChavira15
 
Administracion electronica y Cloud Computing - Carlos Galan - Cloud Day 15 fe...
Administracion electronica y Cloud Computing - Carlos Galan - Cloud Day 15 fe...Administracion electronica y Cloud Computing - Carlos Galan - Cloud Day 15 fe...
Administracion electronica y Cloud Computing - Carlos Galan - Cloud Day 15 fe...Inside_Marketing
 
Ingenieria Social & Importancia del Factor Humano en La Seguridad
Ingenieria Social & Importancia del Factor Humano en La SeguridadIngenieria Social & Importancia del Factor Humano en La Seguridad
Ingenieria Social & Importancia del Factor Humano en La SeguridadBethsabeHerreraTrujillo
 
La importancia de lfactor humano en la seguridad
La importancia de lfactor humano en la seguridad La importancia de lfactor humano en la seguridad
La importancia de lfactor humano en la seguridad AnaPaulaAcosta
 
MAN.SGSI.01-PRONABEC_Manual del SGSI.pdf
MAN.SGSI.01-PRONABEC_Manual del SGSI.pdfMAN.SGSI.01-PRONABEC_Manual del SGSI.pdf
MAN.SGSI.01-PRONABEC_Manual del SGSI.pdfCarlosRamos605522
 
Jornada sobre la LOPD
Jornada sobre la LOPDJornada sobre la LOPD
Jornada sobre la LOPDBBVAtech
 
6.3 Seguridad y Privacidad en el Cloud.
6.3 Seguridad y Privacidad en el Cloud.6.3 Seguridad y Privacidad en el Cloud.
6.3 Seguridad y Privacidad en el Cloud.Brox Technology
 
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...Miguel A. Amutio
 

Similaire à Cloud compliance report_csa-es_v.1.0 (20)

Manual de seguridad[1]
Manual de seguridad[1]Manual de seguridad[1]
Manual de seguridad[1]
 
Arcert --manual de-seguridad_en_redes_informaticas
Arcert --manual de-seguridad_en_redes_informaticasArcert --manual de-seguridad_en_redes_informaticas
Arcert --manual de-seguridad_en_redes_informaticas
 
Manual de seguridad
Manual de seguridadManual de seguridad
Manual de seguridad
 
Manual de seguridad
Manual de seguridadManual de seguridad
Manual de seguridad
 
Guia de seguridad en redes
Guia de seguridad en redesGuia de seguridad en redes
Guia de seguridad en redes
 
La importancia-del-factor-humano-en-la-seguridad-informática
La importancia-del-factor-humano-en-la-seguridad-informáticaLa importancia-del-factor-humano-en-la-seguridad-informática
La importancia-del-factor-humano-en-la-seguridad-informática
 
La importancia del factor humano en la seguridad informática
La importancia del factor humano en la seguridad informáticaLa importancia del factor humano en la seguridad informática
La importancia del factor humano en la seguridad informática
 
Administracion electronica y Cloud Computing - Carlos Galan - Cloud Day 15 fe...
Administracion electronica y Cloud Computing - Carlos Galan - Cloud Day 15 fe...Administracion electronica y Cloud Computing - Carlos Galan - Cloud Day 15 fe...
Administracion electronica y Cloud Computing - Carlos Galan - Cloud Day 15 fe...
 
Ingenieria Social & Importancia del Factor Humano en La Seguridad
Ingenieria Social & Importancia del Factor Humano en La SeguridadIngenieria Social & Importancia del Factor Humano en La Seguridad
Ingenieria Social & Importancia del Factor Humano en La Seguridad
 
La importancia de lfactor humano en la seguridad
La importancia de lfactor humano en la seguridad La importancia de lfactor humano en la seguridad
La importancia de lfactor humano en la seguridad
 
Actividad da la guia de seguridad
Actividad da la guia de seguridadActividad da la guia de seguridad
Actividad da la guia de seguridad
 
Tics
TicsTics
Tics
 
Evidencia 1
Evidencia 1Evidencia 1
Evidencia 1
 
Normatecnica
NormatecnicaNormatecnica
Normatecnica
 
Taller 1
Taller 1Taller 1
Taller 1
 
MAN.SGSI.01-PRONABEC_Manual del SGSI.pdf
MAN.SGSI.01-PRONABEC_Manual del SGSI.pdfMAN.SGSI.01-PRONABEC_Manual del SGSI.pdf
MAN.SGSI.01-PRONABEC_Manual del SGSI.pdf
 
Jornada sobre la LOPD
Jornada sobre la LOPDJornada sobre la LOPD
Jornada sobre la LOPD
 
6.3 Seguridad y Privacidad en el Cloud.
6.3 Seguridad y Privacidad en el Cloud.6.3 Seguridad y Privacidad en el Cloud.
6.3 Seguridad y Privacidad en el Cloud.
 
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
 
Red065 blq
Red065 blqRed065 blq
Red065 blq
 

Dernier

Actividad 14_ Diseño de Algoritmos Paralelos.pdf
Actividad 14_ Diseño de Algoritmos Paralelos.pdfActividad 14_ Diseño de Algoritmos Paralelos.pdf
Actividad 14_ Diseño de Algoritmos Paralelos.pdfalejandrogomezescoto
 
Tecnológia 2024.docx.Tecnológia 2024.docx.
Tecnológia 2024.docx.Tecnológia 2024.docx.Tecnológia 2024.docx.Tecnológia 2024.docx.
Tecnológia 2024.docx.Tecnológia 2024.docx.marianarodriguezc797
 
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...RaymondCode
 
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdfTENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdfJoseAlejandroPerezBa
 
Matriz de integración de tecnologías- Paola Carvajal.docx
Matriz de integración de tecnologías- Paola Carvajal.docxMatriz de integración de tecnologías- Paola Carvajal.docx
Matriz de integración de tecnologías- Paola Carvajal.docxPaolaCarolinaCarvaja
 
El diseño de Algoritmos Paralelos.pdf - analisis de algortimos
El diseño de Algoritmos Paralelos.pdf - analisis de algortimosEl diseño de Algoritmos Paralelos.pdf - analisis de algortimos
El diseño de Algoritmos Paralelos.pdf - analisis de algortimosLCristinaForchue
 
Los mejores simuladores de circuitos electrónicos.pdf
Los mejores simuladores de circuitos electrónicos.pdfLos mejores simuladores de circuitos electrónicos.pdf
Los mejores simuladores de circuitos electrónicos.pdfodalistar77
 
VIDEOS DE APOYO.docx E
VIDEOS DE APOYO.docx                                  EVIDEOS DE APOYO.docx                                  E
VIDEOS DE APOYO.docx Emialexsolar
 
De Código a Ejecución: El Papel Fundamental del MSIL en .NET
De Código a Ejecución: El Papel Fundamental del MSIL en .NETDe Código a Ejecución: El Papel Fundamental del MSIL en .NET
De Código a Ejecución: El Papel Fundamental del MSIL en .NETGermán Küber
 
La Electricidad y La Electrónica.pdf....
La Electricidad y La Electrónica.pdf....La Electricidad y La Electrónica.pdf....
La Electricidad y La Electrónica.pdf....Aaron Betancourt
 
Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...
Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...
Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...OLGAMILENAMONTAEZNIO
 
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdf
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdfInmersión global en ciberseguridad e IA en la conferencia RSA.pdf
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdfOBr.global
 
Análisis de artefactos tecnologicos .pdf
Análisis de artefactos tecnologicos .pdfAnálisis de artefactos tecnologicos .pdf
Análisis de artefactos tecnologicos .pdfcastrodanna185
 
Inteligencia artificial dentro de la contabilidad
Inteligencia artificial dentro de la contabilidadInteligencia artificial dentro de la contabilidad
Inteligencia artificial dentro de la contabilidaddanik1023m
 
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdfPresentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdfymiranda2
 
PRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOS
PRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOSPRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOS
PRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOSLincangoKevin
 
Carta de Premio y Excel angeline 11-2pdf
Carta de Premio y Excel angeline 11-2pdfCarta de Premio y Excel angeline 11-2pdf
Carta de Premio y Excel angeline 11-2pdfangelinebocanegra1
 
La tablet trabajo en grupo del grado 9-2
La tablet trabajo en grupo del grado 9-2La tablet trabajo en grupo del grado 9-2
La tablet trabajo en grupo del grado 9-2montoyagabriela340
 

Dernier (20)

Actividad 14_ Diseño de Algoritmos Paralelos.pdf
Actividad 14_ Diseño de Algoritmos Paralelos.pdfActividad 14_ Diseño de Algoritmos Paralelos.pdf
Actividad 14_ Diseño de Algoritmos Paralelos.pdf
 
Tecnológia 2024.docx.Tecnológia 2024.docx.
Tecnológia 2024.docx.Tecnológia 2024.docx.Tecnológia 2024.docx.Tecnológia 2024.docx.
Tecnológia 2024.docx.Tecnológia 2024.docx.
 
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
 
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdfTENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
 
Matriz de integración de tecnologías- Paola Carvajal.docx
Matriz de integración de tecnologías- Paola Carvajal.docxMatriz de integración de tecnologías- Paola Carvajal.docx
Matriz de integración de tecnologías- Paola Carvajal.docx
 
El diseño de Algoritmos Paralelos.pdf - analisis de algortimos
El diseño de Algoritmos Paralelos.pdf - analisis de algortimosEl diseño de Algoritmos Paralelos.pdf - analisis de algortimos
El diseño de Algoritmos Paralelos.pdf - analisis de algortimos
 
Los mejores simuladores de circuitos electrónicos.pdf
Los mejores simuladores de circuitos electrónicos.pdfLos mejores simuladores de circuitos electrónicos.pdf
Los mejores simuladores de circuitos electrónicos.pdf
 
VIDEOS DE APOYO.docx E
VIDEOS DE APOYO.docx                                  EVIDEOS DE APOYO.docx                                  E
VIDEOS DE APOYO.docx E
 
BEDEC Proyecto y obra , novedades 2024 - Xavier Folch
BEDEC Proyecto y obra , novedades 2024 - Xavier FolchBEDEC Proyecto y obra , novedades 2024 - Xavier Folch
BEDEC Proyecto y obra , novedades 2024 - Xavier Folch
 
De Código a Ejecución: El Papel Fundamental del MSIL en .NET
De Código a Ejecución: El Papel Fundamental del MSIL en .NETDe Código a Ejecución: El Papel Fundamental del MSIL en .NET
De Código a Ejecución: El Papel Fundamental del MSIL en .NET
 
La Electricidad y La Electrónica.pdf....
La Electricidad y La Electrónica.pdf....La Electricidad y La Electrónica.pdf....
La Electricidad y La Electrónica.pdf....
 
Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...
Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...
Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...
 
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdf
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdfInmersión global en ciberseguridad e IA en la conferencia RSA.pdf
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdf
 
Análisis de artefactos tecnologicos .pdf
Análisis de artefactos tecnologicos .pdfAnálisis de artefactos tecnologicos .pdf
Análisis de artefactos tecnologicos .pdf
 
Inteligencia artificial dentro de la contabilidad
Inteligencia artificial dentro de la contabilidadInteligencia artificial dentro de la contabilidad
Inteligencia artificial dentro de la contabilidad
 
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdfPresentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
 
PRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOS
PRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOSPRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOS
PRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOS
 
Carta de Premio y Excel angeline 11-2pdf
Carta de Premio y Excel angeline 11-2pdfCarta de Premio y Excel angeline 11-2pdf
Carta de Premio y Excel angeline 11-2pdf
 
La tablet trabajo en grupo del grado 9-2
La tablet trabajo en grupo del grado 9-2La tablet trabajo en grupo del grado 9-2
La tablet trabajo en grupo del grado 9-2
 
BEDEC Sostenibilidad, novedades 2024 - Laura Silva
BEDEC Sostenibilidad, novedades 2024 - Laura SilvaBEDEC Sostenibilidad, novedades 2024 - Laura Silva
BEDEC Sostenibilidad, novedades 2024 - Laura Silva
 

Cloud compliance report_csa-es_v.1.0

  • 1. Ini c i a ti va c oord i na da y pat r o ci n ada po r :
  • 2. C loud Co mp li a nce Report CA P Í T U LO E S PA Ñ O L D E C LO U D S E CU R I T Y A L L I ANCE Versión 1 - mayo 2011 Título: Cloud Compliance Report Copyright y derechos: CSA- ES (Cloud Security Alliance- España) - ISMS Forum Spain. Todos los derechos de esta Obra están reservados a CSA-ES (Cloud Security Alliance-España) y a ISMS Forum Spain. Los titulares reconocen el derecho a utilizar la Obra en el ámbito de la propia actividad profesional con las siguientes condiciones: a) Que se reconozca la propiedad de la Obra indicando expresamente los titulares del Copyright. b) No se utilice con fines comerciales. c) No se creen obras derivadas por alteración, trasformación y/o desarrollo de esta Obra. - Los titulares del Copyright no garantizan que la Obra esté ausente de errores. En los límites de lo posible se procederá a corregir en las ediciones sucesivas los errores señalados. - El contenido de la Obra no constituye un asesoramiento de tipo profesional y/o legal. - No se garantiza que el contenido de la Obra sea completo, preciso y/o actualizado. - Eventuales denominaciones de productos y/o empresas y/o marcas y/o signos distintivos citados en la Obra son de propiedad exclusiva de los titulares correspondientes. Más información acerca de CSA-ES se puede consultar a través de su página oficial: www.cloudsecurityalliance.es www.ismsforum.es/csa www.cloudsecurityalliance.org
  • 3. S o b re C S A - E S : Con 91 miembros fundadores, representativos de los distintos actores de la industria del Cloud Computing en España, nació en mayo de 2010 el capítulo Español de Cloud Security Alliance: CSA-ES, impulsado por ISMS Forum Spain y Barcelona Digital. CSA es la organización internacional de referencia en la que exper- tos de algo nivel debaten y promueven el uso de mejores prácticas para garantizar la seguridad y privacidad en el entorno del Cloud Computing. Por su parte, el capítulo español ya cuenta con 200 miembros, siendo su ámbito de interés el “Compliance en la Nube”. En este sentido existen tres grupos de trabajo específicos, como son: Privacidad y Cumplimiento Normativo en la Nube; Sistemas de Gestión de Seguridad de la Información, y Gestión de Riesgos en la Nube; y Contratación, Evidencias Electrónicas y Auditoría en la Nube. Los profesionales que conforman estos grupos han trabajado en este primer Report español en materia de Cloud Compliance. La estructura de CSA-ES consta de: Junta Directiva Cargo en la Junta Directiva Nombre Cargo, empresa de CSA-ES Presidente - Comité Luis Buezo Bueno Director EMEA IT Assurance, HP Technology Services Operativo Director de Riesgos Tecnológicos y Seguridad Informática de Vicepresidente - Comité Jesús Milán Lobo Bankinter Operativo Jesús Luna García Investigador, Technische Universität Darmstadt (Alemania) Vocal - Comité Operativo Casimiro Juanes Director Regional de Seguridad RMED de Ericsson Vocal - Comité Operativo Nathaly Rey Directora General de ISMS Forum Spain Vocal - Comité Operativo Gianluca D´Antonio Chief Information Security Officer (CISO) del Grupo FCC Vocal Elena Maestre Socio de Riesgos Tecnológicos de PricewaterhouseCoopers Auditores S.L. Vocal Ramón Miralles Coordinador de Auditoria y Seguridad de la Información de la Vocal López Autoridad Catalana de Protección de Datos Carlos Alberto Sáiz Socio responsable del Área de GRC Governance, Risk y Compliance Vocal Peña de Ecija Profesor Titular de Universidad. Dpto. Ingeniería Telemática en la E.T.S.I. Víctor A. Villagrá Vocal Telecomunicación de la Universidad Politécnica de Madrid (UPM) Consejo Asesor Nombre Cargo, empresa Pau Contreras Director de Innovación y Desarrollo de Negocio de Oracle Ibérica Antoni Felguera R+D Security Manager de Barcelona Digital Technology Centre Marcos Gómez Hidalgo Subdirector de Programas de INTECO Olof Sandstrom Director General de Operaciones de Arsys Los líderes de los Grupos de Trabajo Nombre Cargo, empresa Grupo de Trabajo Miguel Ángel Ballesteros Auditor en CEPSA Privacidad y Cumplimiento Normativo en la Nube Bastellesteros Managing Partner en n+1 Intelligence Sistemas de Gestión de Seguridad de la Antonio Ramos & Research Información, y Gestión de Riesgos en la Nube Security R&D Business Manager en Contratación, Evidencias Electrónicas y Auditoria María Luisa Rodríguez Barcelona, Digital Centre Tecnològic en la Nube
  • 5. Cloud Compliance Report Capítulo Español de Cloud Security Alliance Índice 1. Resumen ejecutivo 9 2. Introducción y justificación del estudio 12 3. Contenido del documento 14 4. Cumplimiento legislativo en materia de Privacidad 18 4.1 Introducción 18 4.2 Contenido del capítulo 21 4.3 Legislación aplicable 23 4.4 Encargado de tratamiento 25 4.5 Medidas de seguridad 32 4.6 Transferencias Internacionales 36 4.7 Ejercicio de derechos 42 4.8 Autoridades de control 46 4.9 Comunicación de datos a otras autoridades 51 4.10 Conclusiones 54 5. Cumplimiento con otras legislaciones 58 5.1 Introducción 58 5.2 Contenido del capítulo 58 5.3 Anteproyecto de Ley de modificación de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones 59 5.4 Ley 11/2007, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos 60 5.5 Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico 60 5.6 Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal 62 5.7 Aspectos Jurídicos Laborales 67 0. Índice i 5
  • 6. Cloud Compliance Report Capítulo Español de Cloud Security Alliance 6. Sistemas de Gestión de la Seguridad de la Información en la nube 70 6.1 Introducción 70 6.2 Contenido del capítulo 70 6.3 Principios generales de despliegue de un SGSI 71 6.4 Fase I. Definición y preparación del SGSI 72 6.5 Fase II. Implantación y operación del SGSI 81 6.6 Fase III. Seguimiento y mejora del SGSI 83 6.7 Conclusiones 85 7. Efectos de la computación en la nube sobre la contratación de servicios TIC 88 7.1 Introducción 88 7.2 Contenido 90 7.3 Mecanismos de resolución de conflictos 91 7.4 Confidencialidad 91 7.5 Propiedad Intelectual 92 7.6 Responsabilidad 93 7.7 Resolución anticipada 93 7.8 Privacidad y protección de datos 94 7.9 Ley aplicable y jurisdicción 96 7.10 Auditabilidad 97 7.11 Seguridad 99 7.12 Acuerdos de Nivel de Servicio (ANS) 101 7.13 Recomendaciones 102 8. La obtención de evidencias digitales en la nube 105 8.1 Introducción 105 8.2 Contenido del capítulo 105 8.3 La problemática 106 8.4 Las “amenazas principales” y la prueba electrónica 108 8.5 Recomendaciones 111 0. Índice 6
  • 7. Cloud Compliance Report Capítulo Español de Cloud Security Alliance 9. Auditoría de entornos de computación en la nube 113 9.1 Introducción 113 9.2 Contenido del capítulo 114 9.3 Metodologías y tecnologías de auditoría. 115 9.4 Recomendaciones 117 10. Glosario 120 11. Referencias 123 12. Anexos 125 Anexo I. Amenazas asociadas a tecnologías específicas 125 Anexo II. Amenazas 127 Anexo III. La prueba electrónica en el marco legal Español 133 Anexo IV. Metodologías y tecnologías de auditoría 138 0. Índice i 7
  • 9. Cloud Compliance Report Capítulo Español de Cloud Security Alliance Resumen ejecutivo El cumplimiento normativo es uno de los aspectos mencionados ineludiblemente por cualquier estudio rela- tivo a la implantación de modelos de computación en la nube. Esta circunstancia, unida al hecho de que la regulación española sobre la privacidad es modélica a nivel mundial, ha hecho que el capítulo español de la Cloud Security Alliance se haya decidido a abordar este ‘Cloud Compliance Report’. Pero el enfoque del cumplimiento normativo se ha abordado de una manera amplia, no limitado a los aspectos sobre la privacidad, sino que incluye también otras normas exigibles en España, así como, nor- mativas de carácter voluntario, como la ISO/IEC 27001:2005 sobre Sistemas de Gestión de la Seguridad de la Información (SGSI) o un análisis de los aspectos relacionados con la contratación como pieza funda- mental de la relación entre cliente y proveedor de servicios en la nube. Además de incluir todo este tipo de normas, el estudio ha ido un poco más allá e incluye también lo rela- cionado con la validación del cumplimiento, es decir, analiza la realización de auditorías y la obtención de evidencias digitales en entornos de computación en la nube. Finalmente, resaltar que el estudio ha tomado en consideración tanto el punto de vista del cliente como del proveedor de servicios para lo que ha sido fundamental que sus autores conformaran un grupo multidis- ciplinar y representativo de ambas perspectivas. En aquellos puntos donde es relevante, también existen reflexiones y recomendaciones por tipo de servicio (SaaS, PaaS o IaaS) y por tipo de despliegue (nube privada, pública, híbirida…). Uno de los principales objetivos del presente documento es aportar un enfoque metodológico que ayude a abordar las necesidades de cumplimiento dentro de la computación en la nube. Está claro que no pode- mos ver sólo los beneficios del computación en la nube y obviar sus implicaciones y riesgos, en especial, todo lo relacionado con el cumplimiento. Por otro lado, tampoco podemos recurrir sistemáticamente a argumentos de seguridad y cumplimiento para paralizar las iniciativas en la nube. Todo es cuestión de balancear, identificando qué servicios, cómo y cuándo se pueden ir implementando de manera adecuada en los diferentes modelos de computación en la nube. La evolución hacia la nube será gradual y clara- mente los requerimientos de cumplimiento serán uno de los principales parámetros que irán marcando la velocidad de esta evolución. En cuanto a las conclusiones más relevantes de este estudio, aunque son difíciles de resumir en tan poco espacio, sí que es interesante resaltar que tienen un mismo hilo conductor: Aumentar la transparencia en la relación entre cliente y proveedor de servicios de computación en la nube como elemento básico de confianza entre las partes (en este sentido, por ejemplo, contar con un proveedor certificado es un factor muy positivo). Estas recomendaciones, en gran medida, también podrían ser de aplicación a los modelos más tradicionales de externalización de servicios (como el housing o el hosting), lo cual es lógico, puesto 1. Resumen ejecutivo 9
  • 10. Cloud Compliance Report Capítulo Español de Cloud Security Alliance que la computación en la nube podría considerarse como un salto cualitativo en los modelos de provisión de servicios TIC. De este modo, nos encontramos con recomendaciones como la de que los clientes informen a los provee- dores sobre los tratamientos de datos de carácter personal que están realizando y los requisitos que sobre ellos existen y que éstos, a su vez, identifiquen e informen de las localizaciones en las que realizarán dichos tratamientos o de proveedores a los que ellos subcontraten parte de sus servicios, así como, que se establezcan mecanismos de coordinación entre ambas partes para asegurar que se puede dar cumplimien- to a los derechos de los afectados de manera responsable. En cuanto a la implantación de SGSIs, también nos encontramos recomendaciones en sentido de ampliar los canales de comunicación en materia, por ejemplo, de valoración de riesgos, de incidencias, de va- riación de los niveles de riesgo, así como de coordinación (como, por ejemplo, en materia de definición de roles y responsabilidades, respuesta a incidentes o realización de tareas de seguimiento y auditoría), mecanismos éstos especialmente relevantes en el caso de SGSIs “encapsulados”. En este punto, se incluye una reflexión especial en relación a los alcances, en el sentido de que deben ser significativos para los servicios prestados en la nube. En relación a la contratación de servicios en la nube, las recomendaciones también tienen la misma orien- tación, encontrándonos con referencias a los Acuerdos de Nivel de Servicio como herramientas funda- mentales para definir y monitorizar el servicio, pero también con aspectos como determinar la propiedad intelectual de los distintos elementos de la provisión del servicio, establecer mecanismos de resolución de conflictos o clarificar desde el inicio las leyes aplicables y la jurisdicción aplicable. Para finalizar, en cuanto a los aspectos relacionados con la validación del cumplimiento (evidencias y au- ditoría), las recomendaciones hacen foco en los aspectos de coordinación (quién debe encargarse de qué tarea en aspectos como elaboración de métricas, realización de revisiones, etc.), así como en el estableci- miento de un entorno confiable mediante la implantación de mecanismos como procedimientos de gestión de evidencias, medidas de protección de los registros de auditoría, planificación de auditorías, etc. 1. Resumen ejecutivo 10
  • 12. Cloud Compliance Report Capítulo Español de Cloud Security Alliance Introducción y justificación del estudio El pasado 21 de Mayo de 2010, ISMS Forum Spain y Barcelona Digital, centro tecnológico de I+D+i es- pecializado en seguridad, conjuntamente con la Cloud Security Alliance (CSA), anunciaron la creación del capítulo español del CSA. Como es ya conocido, CSA es la organización internacional de referencia en la que expertos de alto nivel debaten y promueven el uso de mejores prácticas para garantizar la seguridad y privacidad en el entorno de computación en la nube. El capítulo español, que se denomina CSA-ES, lo constituyeron inicialmente 91 miembros. Se trató del primer capítulo de ámbito nacional del CSA y se fundó con la misión de avanzar en el desarrollo seguro de la tecnología cloud computing (computación en la nube) en España, constituyendo un foro de discusión y aglutinamiento de los profesionales de seguridad en éste ámbito de trabajo. Los principales objetivos de CSA-ES son promover un nivel de entendimiento entre consumidores y proveedores de cloud, potenciar el desarrollo de guías y buenas prácticas independientes, así como lanzar campañas de concienciación y sensibilización sobre el uso adecuado y seguro de la nube. Cada capítulo regional selecciona un ámbito específico de interés en relación con la computación en la nube. El hecho de que la regulación española sobre la privacidad es modélica a nivel mundial, ha justificado que el CSA-ES seleccionara el área de “Compliance en la Nube”, marcándose como objetivo desarrollar el presente documento, según ratificó la Junta Directiva, una vez que la misma fue constituida. Desde la fundación de CSA-ES, se constituyeron 3 grupos de trabajo enfocados a trabajar en paralelo para el desarrollo del presente documento en las siguientes áreas: • Grupo de Trabajo 1: Privacidad y cumplimiento normativo • Grupo de Trabajo 2: Sistemas de gestión de seguridad de la información y gestión de riesgos • Grupo de Trabajo 3: Contratación, evidencias electrónicas y auditoría.. CSA-ES está convencido de que este ‘Cloud Compliance Report’, sin duda alguna, aportará un gran valor a la industria en virtud de que precisamente el cumplimento normativo es una de las barreras a la hora de implantar el modelo de computación en la nube en muchas organizaciones, máxime teniendo en cuenta las rigurosas obligaciones de seguridad que vienen impuestas por la normativa de protección de datos de carácter personal, y la carencia de un nivel de entendimiento con reguladores y autoridades de control. El objetivo del Capítulo es partir de una base general robusta en materia de cumplimiento, para después, ir trabajando por sectores de interés (banca, salud, seguros, telecomunicaciones, etc.). 2. Introducción y justificación del estudio 12
  • 14. Cloud Compliance Report Capítulo Español de Cloud Security Alliance Contenido del documento Para abordar el estudio del cumplimiento en la nube, el capítulo español de la Cloud Security Alliance dividió el tema considerando que el cumplimiento tiene dos estadios. En primer lugar, el inventariado. En este primer momento, lo que afrontamos es la identificación de las normas que son de aplicación a la Or- ganización. Dentro de estas, podríamos clasificar las normas de aplicación a cualquier organización en: • Normas generales, que a su vez, podrían ser obligatorias (ordenamiento jurídico de los Estados normalmente) o voluntarias (códigos tipo o mejores prácticas). • Normas particulares, es decir, aquellas que aplican con carácter individual por aceptar los términos de un contrato o normas sectoriales. Una vez superado este estadio enunciativo, vendría la etapa de validar el cumplimiento. Este cumplimiento se apoya en dos grandes ejes. Por un lado, las evidencias digitales que permiten demostrar hechos en los entornos telemáticos y que son de especial relevancia en la nube y, como no, la auditoría, como herra- mienta (que se apoya en múltiples ocasiones en evidencias digitales) para validar que una determinada organización, sistema o servicio “cumplen” con lo requerido por alguna de las normativas mencionadas anteriormente. Esta estructuración de contenidos se concentró generando tres grupos de trabajo: • El primer grupo de trabajo se centró en las normas generales y los resultados se encuentran en los capítulos 4 y 5. Se ha decidido tratar la privacidad en un capítulo propio, dada su especial relevancia en el contexto de la computación en la nube, y la importancia de la normativa de protección de datos de carácter personal, especialmente en el contexto Europeo. • El segundo grupo de trabajo se dedicó a las normas voluntarias, más concretamente, se concen- tró en los Sistemas de Gestión de la Seguridad de la Información en base a la norma ISO/IEC 27001:2005 dada su importancia a nivel mundial y mejor práctica generalmente aceptada y cuyo análisis se encuentra en el Capítulo 6. • Finalmente, el tercer grupo se dedicó a los aspectos restantes. A la contratación, como meca- nismo en el que se establecen los requisitos entre las partes (Capítulo 7) y, por otro lado, en lo relacionado con la verificación del cumplimiento, que se traduce en dos capítulos independien- tes: las evidencias digitales (Capítulo 8) y la auditoría (Capítulo 9). 3. Contenido del documento 14
  • 15. Cloud Compliance Report Capítulo Español de Cloud Security Alliance La estructura resultante es la que puede apreciarse en el gráfico adjunto (Ilustración 1). Ilustración 1. Organización del contenido del documento 4. Privacidad Obligatorias 5. Otras Generales Voluntarias 6. SGSI Normas Particulares Contratación Compliance Report 8. Evidencias digitales Validación 9. Auditoría Por otra parte, aunque los aspectos cubiertos por este documento son algunos muy diferentes, se ha pro- curado mantener una misma estructura en todos los capítulos de forma que sea fácil para el lector seguir la argumentación a lo largo de todo el estudio pero que también puedan ser consultados de manera indi- vidual sin que sea necesario leer todo el informe para sacar provecho de su lectura. De esta forma, todos los capítulos tienen los siguientes apartados: • Una introducción inicial que ayuda a centrar el tema en cuestión, explica por qué se aborda y su relación con la computación en la nube. • Un apartado que explica el contenido del capítulo de manera específica para que el lector sepa dónde puede encontrar determinados aspectos que le interesen en mayor medida. 3. Contenido del documento 15
  • 16. Cloud Compliance Report Capítulo Español de Cloud Security Alliance • Finalmente, tras el desarrollo de cada aspecto se incluye un apartado final de conclusiones o recomendaciones a modo de compendio final de los aspectos más relevantes del capítulo. No obstante, durante el desarrollo de cada parte del documento se van realizando recomendacio- nes relativas a la materia en estudio en cada momento, por lo que es importante, si el lector está interesado en algún tema concreto que lea el capítulo completo para obtener un mayor grado de detalle. Ilustración 2. Estructura de los capítulos Introducción Conclusiones / Estructura Contenido Recomendaciones capítulos Desarrollo 3. Contenido del documento 16
  • 18. Cloud Compliance Report Capítulo Español de Cloud Security Alliance Cumplimiento legislativo en materia de Privacidad 4.1 Introducción Actualmente existen diversas definiciones y características de computación en la nube, por lo que no es fácil dar una definición clara a lo que podríamos describir como un modelo para la prestación de servicios y recursos (redes, servidores, capacidad de almacenamiento, aplicaciones y servicios) bajo demanda a través de la red, caracterizado por su adaptabilidad, flexibilidad, escalabilidad, rapidez, optimización y eficiencia. Estos componentes pueden orquestarse, abastecerse, implementarse y desmantelarse rápidamente y esca- larse en función de las dimensiones necesarias para ofrecer los servicios solicitados. También puede definirse como que el modelo en la nube es, en la actualidad, una oferta de acceso inme- diato y a un coste asequible (y a veces gratuito) a las tecnologías de la información cuya infraestructura, hardware, software y personal cualificado, se pone al alcance de empresas y particulares para ofrecer diversos productos y servicios. Siguiendo con la definición que ofrece la Cloud Security Alliance (en adelante, CSA) de la computación en la nube, las características esenciales de este modelo son: autoservicio a la carta, amplio acceso a la red, reservas de recursos en común, rapidez y elasticidad y servicio supervisado [CSA, 2009]. De acuerdo con el documento de CSA “Top Threats to Cloud Computing v1.0” [CSA, marzo 2010], y dada la importancia del fenómeno de la computación en la nube, como demuestra la publicación de otros infor- mes similares como el de INTECO [Inteco, 2011], el del World Privacy Forum [WPF, 2009], etc., se pueden enumerar una serie de amenazas a tener en cuenta a la hora de desplegar un modelo de servicio en la nube como serían: Interfaces y APIs1 poco seguros, problemas derivados de las tecnologías compartidas, pérdida o fuga de información, secuestro de sesión, riesgos por desconocimiento, migración de servicios hacia otro proveedor, amenaza interna y mal uso o abuso del servicio. A estos riesgos asociados a este modelo de computación, que además destacan por su falta de históricos, habría que añadir otros como son los accesos de usuarios con privilegios, la localización y el aislamiento de los datos, la recuperación, el soporte investigativo, la viabilidad a largo plazo, la falta de control de la gestión y seguridad de los datos, las cesiones no consentidas o las transferencias internacionales no autorizadas, en definitiva, la privacidad de los datos en la nube y el cumplimiento normativo o legal. Conviene recordar que aspectos como las transferencias internacionales, las subcontrataciones o las dis- tintas jurisdicciones de las diferentes autoridades de control son difíciles de resolver en este modelo de computación, según entendemos la normativa actualmente. 1 Application Programming Interface 4. Cumplimiento legislativo en materia de Privacidad 18
  • 19. Cloud Compliance Report Capítulo Español de Cloud Security Alliance Tampoco conviene olvidar que es casi imposible cumplir con el precepto de verificación del cumplimiento del encargado del tratamiento por el responsable del fichero dada la diferencia de tamaño y capacidad negociadora de las organizaciones que a veces están implicadas en el proceso. A su vez, existen muchos retos desde el punto de vista del cumplimiento normativo y la privacidad que tratan de dar una respuesta adecuada a los riesgos correspondientes enumerados en el párrafo anterior. Este capítulo viene a estudiar los diferentes aspectos contemplados anteriormente con objeto de poder ayudar al lector a establecer pautas para abordar los retos que conlleva el modelo de computación en la nube desde la perspectiva española. Las razones para ello son, principalmente dos: La primera y más evidente es que constituye la aportación del capítulo español de la Cloud Security Alliance. La segunda, obedece a que España cuenta en la actualidad con la normativa más rigurosa en materia de protección de datos personales. España ha sido el país europeo que ha desarrollado con mayor intensidad, los principios consagrados por la Directiva 95/46/CE, que a su vez es el marco jurídico más garantista que se conoce, en materia de protección de datos. Esto permite afirmar que cualquier prestación de servicios en la nube, que cumpla con los requisitos exigidos por la normativa española, puede cubrir los requisitos exigidos por las normativas de otros Estados. Antes de entrar a analizar la normativa española de protección de datos, conviene realizar una referencia sucinta de los marcos normativos existentes. 4.1.1 Estados Unidos En Estados Unidos, la protección de datos personales no está considerada como un derecho fundamental. Existe una política legislativa de mínimos que fomenta la autorregulación en el sector privado. Con un enfoque mercantilista, se persigue la protección de los derechos de los ciudadanos, desde la perspectiva de la “protección del consumidor”. No obstante, existen desarrollos normativos verticales que buscan adaptarse al contexto específico en cuanto a la naturaleza de los datos, la finalidad de su tratamiento, o la naturaleza responsable de dicho tratamiento. A modo de ejemplo podemos mencionar: Electronic Communications Privacy Act de 1986, Electronic Funds Transfer Act, Telecommunications Act de 1996, Fair Credit Reporting de 1970 y Consumer Credit Reporting Reform Act de 1996, Right to Financial Privacy Act, entre otras. En cuanto a la aplicación, son los propios titulares de los datos quienes deben velar por el cumplimiento de la normativa que regula el tratamiento de sus datos, a través del ejercicio de los derechos que se les reconocen. 4.1.2 Europa En Europa, la protección de datos personales está considerada como un derecho fundamental. En línea con una tradición jurídica positivista, se ha acentuado la labor legislativa con el fin de establecer un sistema garantista (de hecho, el más garantista que existe en la actualidad) en aras de asegurar una la protección efectiva a los derechos de los ciudadanos. La Directiva 95/46/CE [Directiva, 1995] constituye el marco europeo de referencia. En esta Directiva se establecen ciertos principios, que los Estados Miembros ha tenido que transponer en sus respectivos ordenamientos, a saber: 4. Cumplimiento legislativo en materia de Privacidad 19
  • 20. Cloud Compliance Report Capítulo Español de Cloud Security Alliance 1. Información. 2. Consentimiento. 3. Finalidad. 4. Calidad. 5. Seguridad. 6. Derechos de Acceso, Rectificación, Cancelación y Oposición. 7. Autoridad de Control independiente. 8. Limitación a las trasferencias internacionales de datos. El enfoque europeo ha servido también como fuente de inspiración para otras legislaciones, principalmen- te de corte continental, que han incorporado o están incorporando estos principios, evidentemente para proteger los derechos de los ciudadanos, pero también, para favorecer el tráfico económico con los países miembros de la Unión. Argentina,Chile y Colombia y México son algunos ejemplos en este sentido. 4.1.3 Safe Harbor Principles El término Safe Harbor Privacy Principles, se refiere a los principios de privacidad a los que deben adhe- rirse las organizaciones estadounidenses, para poder ser importadores de datos personales provenientes de los Estados miembros de la Unión Europea. Estos principios fueron publicados en el año 2000 por el Departamento de Comercio de los Estados Uni- dos. La adhesión a ellos pretende asegurar la aplicación, por parte del importador, de unos niveles de protección adecuados que sean equiparables a los establecidos por la Directiva. Con la adhesión, el importador se obliga a observar ciertos principios rectores en tratamiento de datos personales, como son: 1. Notificación e información a los titulares, previos a la recogida de datos. 2. Derecho de oposición a la comunicación de datos a terceros o a los usos incompatibles con el objeto inicial de la recogida. 3. Abstención de transferencia ulterior de datos a terceros que no se hayan adherido a los prin- cipios de Safe Harbor. 4. Obligación de implementar medidas de seguridad. 5. Calidad de los datos. 6. Reconocimiento de los derechos de acceso y rectificación a los afectados. 7. Necesidad de adoptar mecanismos que brinden garantías para la aplicación de los principios. 4.1.4 Marco APEC2 Comparte los principios de protección de datos personales de la Directiva Europea, no obstante, presenta grandes diferencias en cuanto a la aplicación. En el modelo europeo, las autoridades de protección de datos regulan y verifican el cumplimiento de dichos principios, mientras que en el modelo APEC esto se lleva cabo, a través de mecanismos de auto- regulación verificados por organismos públicos o privados, de modo que no se garantiza que se obligue desde el Estado. 2 De las sigas en inglés de Asia-Pacific Economic Cooperation, en español, Foro de Cooperación Económica Asia-Pacífico. 4. Cumplimiento legislativo en materia de Privacidad 20
  • 21. Cloud Compliance Report Capítulo Español de Cloud Security Alliance Al igual que el modelo estadounidense, existe un enfoque desde el punto de vista consumidor y es un modelo ex post, en el que una autoridad pública o privada puede intervenir sólo después de que se ha producido la supuesta violación. 4.1.5 Habéas Data En los países con el modelo Hábeas Data, la protección de datos se asocia con un derecho a conocer, actualizar y a rectificar datos. Estos modelos presentan las siguientes características: • Existen mecanismos de garantía procesal o judicial. • La intervención de la autoridad es siempre ex-post, es decir, la normativa no implica cumpli- miento de obligaciones ex-ante por parte de las organizaciones. • Inexistencia de autoridades de control. • Legitimación personas que han sufrido una lesión en su intimidad por el uso abusivo de sus datos. 4.1.6 Resolución de Madrid sobre Estándares Internacionales sobre Protección de Datos Personales y Privacidad Este documento, producto de la labor conjunta de los garantes de la privacidad de casi cincuenta países, bajo coordinación de la Agencia Española de Protección de Datos, ha desembocado en un texto que trata de plasmar los múltiples enfoques que admite la protección de este derecho, integrando legislaciones de los cinco continentes. Tal y como establece la Disposición Primera del Documento, los Estándares tienen por objeto “Definir un conjunto de principios y derechos que garanticen la efectiva y uniforme protección de la privacidad a nivel internacional, en relación con el tratamiento de datos de carácter personal; y Facilitar los flujos internacio- nales de datos de carácter personal, necesarios en un mundo globalizado”. Aunque no tiene un carácter vinculante, estos Estándares establecen un compromiso político de quienes lo han suscrito, en el sentido de servir como referencia a los Estados que en la actualidad no hayan legislado sobre la materia, y de servir como referencia para la armonización de la normativa existente, en aras de que la normativa sobre protección de datos y la privacidad no se constituya un obstáculo al comercio internacional; facilitándose el flujo de los datos de carácter personal y la uniformidad de la misma. 4.2 Contenido del capítulo El objetivo del capítulo, por tanto, es plasmar los resultados del estudio sobre el cumplimiento normativo y privacidad en computación en la nube tomando como base la legislación europea y haciendo referencia a otra normativa cuando sea necesario. El informe se estructura de la siguiente forma: Un primer apartado de introducción donde se explica la motivación del análisis, las ventajas, y los riesgos de este modelo de procesamiento. 4. Cumplimiento legislativo en materia de Privacidad 21
  • 22. Cloud Compliance Report Capítulo Español de Cloud Security Alliance Este segundo apartado donde se explica la estructura y contenido del informe, con una breve explicación del contenido de cada uno de ellos. Un tercer apartado con un resumen ejecutivo donde, mediante una visión rápida, el lector se puede hacer una idea bastante aproximada del cumplimiento normativo en la computación en la nube. A continuación, el cuarto apartado, estudia con más detalle cada uno de los aspectos que se conside- ran relevantes a la hora de establecer un modelo de proceso basado en la computación en la nube. El análisis de cada uno de estos aspectos se estructura de la misma forma, una descripción general, los aspectos mas relevantes de la situación analizada en base a los modelos de servicio y despliegue de la nube, la legislación que le aplica y, finalmente, las recomendaciones que se proponen desde el punto de vista de proveedor o cliente del servicio sin olvidar, cuando sea necesario, el punto de vista de las personas afectadas. En el apartado de las medidas de seguridad se sigue una estructura diferente, estudiándose las diferentes medidas desde el punto de vista de la empresa proveedora y de la empresa que contrata. El primer punto empieza estudiando la legislación aplicable según el responsable del tratamiento resida en un país dentro del Espacio Económico Europeo o fuera de él. El segundo punto estudia la figura del encargado del tratamiento, como proveedor del servicio en la nube, repasando la subcontratación y otros agentes operadores de telecomunicaciones. El tercer punto se centra en las medidas de seguridad analizando los principales aspectos de las mismas como son el documento de seguridad, el control de acceso, la gestión de incidencias, las copias de segu- ridad y las auditorías. El cuarto punto trata las transferencias internacionales, tanto desde de la situación en que no exista comu- nicación de datos a un tercero como cuando se da esta comunicación y la diferenciación de un país con nivel adecuado de protección o sin nivel adecuado. El quinto punto aborda el ejercicio de los derechos por los interesados tanto en sus características como requisitos y riesgos. El sexto punto analiza el papel de las autoridades de control en tanto a la determinación de la ju- risdicción a aplicar en el caso de una denuncia o tutela de derechos y la ejecución efectiva de las resoluciones. El séptimo punto considera la comunicación de datos a otras autoridades bien por requerimientos de leyes o de organismos tanto desde el ámbito nacional como de otros países. La audiencia de este documento son los clientes y usuarios de los recursos ofrecidos mediante modelos de computación en la nube y los proveedores de los mismos, sirviendo como referencia para solicitar y ofrecer soluciones en lo relativo a la privacidad de los datos en la nube, el cumplimiento normativo o legal y los mecanismos de seguridad y acuerdos necesarios para controlarlos. 4. Cumplimiento legislativo en materia de Privacidad 22
  • 23. Cloud Compliance Report Capítulo Español de Cloud Security Alliance 4.3 Legislación aplicable3 4.3.1 Descripción general4 La normativa sobre legislación aplicable a los tratamientos de datos personales se encuentra descrita en el artículo 4 de la Directiva de Protección de Datos [Directiva 1995]. Este artículo tiene dos partes bien diferenciadas. La primera, hace referencia a la ley aplicable a responsables de tratamiento que estén esta- blecidos en un Estado miembro del Espacio Económico Europeo (EEE)5. La segunda, de manera que puede resultar sorprendente pues podría suponer un cierto grado de aplicación extraterritorial de la Directiva, a aquellos responsables que, sin estar establecidos en el EEE, utilizan medios situados en el mismo para el tratamiento de datos personales. Para el primer caso, el concepto clave para la determinación de la legislación aplicable es el de la ubica- ción del establecimiento del responsable del tratamiento en conjunción con las actividades de tratamiento que se llevan a cabo conforme al apartado 1 del artículo 4 de la Directiva, letra a). Por lo tanto, no siempre existe una única ley aplicable para todas las operaciones de un determinado responsable de tratamiento de datos personales: Si dicho responsable está establecido en distintos Esta- dos miembros del EEE y trata datos personales en el ámbito de las actividades de varios de ellos, a cada uno de estos tratamientos se le aplicaría un Derecho nacional diferente6, lo que nos lleva a considerar el segundo elemento esencial para determinar la ley aplicable, para qué responsable se lleva a cabo el trata- miento. Por ejemplo, un responsable establecido en Bélgica tiene tiendas en diversos países europeos (por ejemplo, Bélgica, Alemania, Portugal, Francia e Italia) pero las acciones de marketing están centralizadas en Bélgica y todos los datos de los clientes para esta finalidad se tratan en allí. En este caso, y para ese tratamiento específico, independientemente del lugar en que se recojan los datos, la ley aplicable será la belga7. No obstante, esta regla tiene un corolario y es el que se desprende de la aplicación del apartado tercero del artículo 17 de la Directiva y que se refiere a las medidas de seguridad que deben aplicar los encar- 3 En este estudio no se abordará la casuística de aquellos servicios que se contratan directamente (ya sea gratuitamente o no) por los usuarios finales al proveedor de computación en la nube (ejemplos de ellos son los servicios de correo electrónico en la nube o las redes sociales) ni aquellos casos en los que el proveedor de servicios –típicamente un encargado de tratamiento en la terminología de protección de datos– se transforma también en responsable por utilizar los datos personales para finalidades propias (lícita o ilícitamente) como, por ejemplo, un proveedor de servicios IaaS que utiliza los datos confiados a su custodia para, a través de herramientas de minería de datos, establecer perfiles de hábitos de compra para su explotación o su venta a terceros. 4 Para una discusión en profundidad de este asunto se puede consultar el Dictamen 8/2010, sobre Ley Aplicable, del Grupo de Trabajo del Artículo 29. 5 Formado por los estados de la Unión Europea e Islandia, Noruega y Lienchtenstein 6 Así, ni la nacionalidad ni el lugar de residencia de los afectados ni, incluso, la localización física de los sistemas de información donde se tratan datos personales son, en este caso, elementos relevantes para determinar el derecho aplicable a un tratamiento. 7 No hay que confundir ley aplicable con jurisdicción. Podría suceder que una autoridad de control de un estado miembro tuviera jurisdicción para dictaminar sobre un determinado tratamiento de datos pero tuviera que hacerlo aplicando la ley de otro Estado miembro. En el ejemplo expuesto, en base a lo que establece el artículo 28 de la Directiva, si hubiera una reclamación relativa a una acción de marketing llevada a cabo en Francia, la autoridad competente para resolverla sería la francesa, pero debería aplicar la legislación belga. 4. Cumplimiento legislativo en materia de Privacidad 23
  • 24. Cloud Compliance Report Capítulo Español de Cloud Security Alliance gados de tratamiento de datos establecidos en un Estado del EEE. En efecto, este artículo dispone que los encargados de tratamiento, además de estar sujetos a lo que dispone la ley del Estado en que está esta- blecido el responsable del tratamiento, también han de aplicar las medidas de seguridad establecidas por la legislación del Estado miembro en que estén establecidos y, en caso de que hubiera un conflicto entre ambas, prevalecerá esta última. La segunda parte que se mencionaba al inicio de esta sección se refiere a la aplicación de las previsiones de la Directiva8 a un responsable que, aun no estando establecido en un Estado del EEE recurre “para el tratamiento de datos personales, a medios, automatizados o no, situados en el territorio de dicho Estado miembro, salvo en caso de que dichos medios se utilicen solamente con fines de tránsito por el territorio de la Comunidad Europea”. En este caso, el responsable del tratamiento deberá designar un representante establecido en el territorio del Estado miembro de que se trate. Así pues, en el caso de un proveedor de servicios en la nube establecido, por ejemplo, en Estados Unidos, pero que utiliza, para determinados tratamientos de datos, servidores ubicados en un Estado del EEE, la legislación aplicable a los mismos será la de este Estado y, de hecho, el proveedor exportará la legislación europea a los tratamientos de datos personales que lleven a cabo sus clientes. 4.3.2 Aspectos más relevantes En relación con la legislación aplicable a de responsables ubicados en el EEE, el modelo de servicio o de despliegue es irrelevante ya que, en cualquier caso, la determinación de la ley aplicable tan solo de- penderá del Estado en que esté establecido el responsable del tratamiento que ha contratado los servicios de computación en la nube y no del lugar en que se localicen los proveedores de dichos servicios o los equipos de tratamiento utilizados por los mismos. No obstante, también puede tenerse que tomar en consideración la legislación sobre seguridad de otro Estado miembro si el proveedor de servicios en la nube está establecido en dicho Estado miembro distinto del cual en el que está establecido el cliente. Para el caso en que el cliente de un servicio de computación en la nube (que será el responsable de los tratamientos de carácter personal) no esté establecido en el EEE pero su proveedor de servicios utilice medios o equipos ubicados en un Estado miembro del EEE para prestarle los servicios, como antes se ha mencionado, éste le exporta automáticamente la aplicabilidad de los requisitos de la legislación de protec- ción de datos del país de que se trate9. 4.3.3 Legislación aplicable Los artículos que regulan la ley aplicable a un tratamiento de datos son el artículo 4 de la Directiva de Protección de Datos en el que se ha basado el análisis llevado a cabo en este capítulo, el artículo 2 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (en adelante, LOPD) y el artículo 3 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo 8 En el bien entendido que lo que esta frase significa en la realidad es la aplicación de la legislación que el Estado miembro correspondiente haya aprobado al transponer la Directiva. No se tratará el caso descrito en la letra b) del apartado primero del artículo 4 por ser un caso residual y de escasa relevancia para el objeto de este estudio. 9 Como se puede apreciar, en este caso no es suficiente que el proveedor de computación en la nube esté establecido en un Estado del EEE sino que utilice medios que sí estén ubicados dentro del EEE. 4. Cumplimiento legislativo en materia de Privacidad 24
  • 25. Cloud Compliance Report Capítulo Español de Cloud Security Alliance de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante, RLOPD)10. 4.3.4 Recomendaciones Dado que la legislación aplicable a una determinada operación de tratamiento de datos personales no es algo que dependa de la voluntad de ninguna de las partes vinculadas por el contrato de prestación de servicios en la nube, no hay mucho margen para realizar recomendaciones específicas. No obstante, se mencionarán algunos puntos que deberán tenerse en cuenta. 4.3.4.1 Empresa proveedora Las empresas que utilicen medios situados en el territorio del EEE para prestar servicios a sus clientes de- berán ser conscientes que exportan la legislación europea a todos aquellos que no estén establecidos en dicho espacio. Esto implica que las obligaciones de la legislación de protección de datos del Estado miem- bro que corresponda les resulta de aplicación y que, además, ello les obliga a nombrar un representante en el Estado de que se trate11. Si sus clientes están establecidos en el territorio del EEE, las obligaciones relativas a protección de datos (salvo, quizás, las referentes a medidas de seguridad) serán incumbencia de dichos clientes. 4.3.4.2 Empresa cliente Si es una empresa establecida en el territorio del EEE, independientemente de donde esté ubicado su proveedor de servicios en la nube o los sistemas de tratamiento de la información de dicho proveedor, ella será la respon- sable en términos de protección de datos y le será de aplicación la ley del Estado en que esté establecida. Si su proveedor está establecido en un Estado miembro diferente, deberá tener en cuenta que puede existir la necesidad de analizar los requerimientos en materia de seguridad aplicables en el Estado de estable- cimiento del proveedor y que, en todo caso, si existe alguna incompatibilidad o conflicto entre ambas normativas, prevalece la del Estado de establecimiento del proveedor. 4.4 Encargado de tratamiento 4.4.1 Descripción general El concepto de ‘encargado de tratamiento’ se determina en función de dos condiciones básicas: Ser una entidad independiente del responsable del tratamiento y realizar el tratamiento de datos personales por cuenta de éste12. 10 De hecho, este artículo no transpone correctamente las normas sobre legislación aplicable de la Directiva, ya que dispone que la LOPD solo es de aplicación a tratamientos de datos personales llevados a cabo por responsables establecidos en España y que se produzcan en territorio español lo que, como hemos visto, no es lo que establece la Directiva. El artículo 3 del RLOPD (sin entrar a valorar si ha de prevalecer o no sobre el régimen de la LOPD) ha recogido de manera correcta el modelo de la Directiva. 11 El Grupo de Trabajo del Artículo 29 reconoce en su Dictamen 8/2010 que esta previsión de la Directiva puede ocasionar problemas prácticos y económicos pero, aun así, afirma que no existe otra interpretación posible aunque aboga por una reflexión sobre este hecho en el marco de la futura revisión de la legislación europea de protección de datos. 12 Dictamen 1/2010 sobre los conceptos de “responsable del tratamiento” y “encargado del tratamiento” emitido por el Grupo de Trabajo del Art. 29. Este dictamen analiza el concepto de encargado del tratamiento, cuya existencia depende de una decisión adoptada por el responsable del tratamiento, que puede decidir que los datos se traten dentro de su organización o bien delegar todas o una parte de las actividades de tratamiento en una organización externa. 4. Cumplimiento legislativo en materia de Privacidad 25
  • 26. Cloud Compliance Report Capítulo Español de Cloud Security Alliance Dentro de la normativa de protección de datos española encontramos la definición de encargado de trata- miento como “la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento”13. Tal como indica la Sentencia de la Audiencia Nacional de 20 de septiembre de 200214, el encargo de tratamiento se ampara en la prestación de un servicio que el responsable del tratamiento recibe de una empresa ajena a su propia organización y que le ayuda en el cumplimiento de la finalidad del tratamiento de datos consentida por el afectado. Ahora bien, este tratamiento debe delimitarse, concretando el responsable el margen de actuación del encargado en su función encomendada, o se puede dejar un cierto grado de discrecionalidad sobre cómo realizar su función en base a los intereses del responsable del tratamiento. Es aquí donde la figura del encargado de tratamiento se vincula al proveedor de servicios en la nube, ya que éste presta servicios de negocio y tecnología, que permite al usuario acceder a un catálogo de servicios estandarizados de forma flexible y adaptativa, permitiendo a este proveedor que establezca los medios técnicos y de organización más adecuados. Por lo tanto, teniendo en cuenta la normativa aplicable y las obligaciones que conlleva, el proveedor de servicios en la nube podrá determinar su responsabilidad como encargado de tratamiento en función de la tipología de nube (pública, privada, comunitaria o híbrida) y del servicio que decida contratar el respon- sable de tratamiento de los datos de carácter personal, ya que en función del modelo de despliegue de los servicios en la nube (modelo SPI), las responsabilidades del proveedor serán diferentes. 4.4.2 Legislación aplicable 4.4.2.1 Proveedores de servicio La regulación aplicable distingue claramente la figura entre “responsable de tratamiento” y “encargado de tratamiento”, estableciendo como obligación principal la confidencialidad y seguridad de los datos15. El acceso a los datos por parte del proveedor de la nube para prestar sus servicios se condiciona, como premisa esencial, al cumplimiento del régimen establecido por el artículo 12 de la LOPD. Este artículo esta- blece la obligación de la realización de un contrato formal entre el responsable de los datos, (cliente que contrata el servicio en la nube) y el encargado del tratamiento (proveedor del servicio en la nube)16. El cliente que contrata un proveedor de la nube que suponga el acceso a datos de carácter personal, debe tener claro los requisitos formales que establece el artículo 12 de la LOPD, ya que este artículo obliga a que el contrato “conste por escrito o en alguna otra forma que permita acreditar su celebración y conteni- do”. Además existe jurisprudencia17 que indica que, para la validez de la comunicación de los datos del artículo 12 no es suficiente la existencia de un contrato, también es necesario que detalle las condiciones 13 Ver Art. 3. g.) Ley Orgánica de Protección de Datos. 14 Sentencia de la AN, Sala de lo Contencioso-administrativo, Sección 1ª, 20 sep. 2002 (Rec. 150/2000). 15 Ver artículos 2(d) y (e) de la Directiva 95/46/CE, artículo 3.g LOPD y artículo 5.1.i RLOPD. 16 Ver artículos 16 y 17 de la Directiva 95/46/CE. Artículo12.2 LOPD y artículos 20 y 22 RLOPD. 17 Sentencia de la Audiencia Nacional, Sala de los Contencioso-administrativo, sección 1ª, 16 mar. 2006 (Rec. 427/2004). 4. Cumplimiento legislativo en materia de Privacidad 26
  • 27. Cloud Compliance Report Capítulo Español de Cloud Security Alliance que se establecen en dicho precepto y que garantice la seguridad de los datos impidiendo el acceso a los mismos de terceros18. En este contrato debe figurar el siguiente contenido: 1. Especificar y delimitar la finalidad para la que se comunican los datos (Art. 12.2 LOPD). 2. Establecer expresamente que el proveedor de la nube no puede comunicar estos datos a terce- ros, ni siquiera para su conservación (Art. 12.2 LOPD). 3. Implementar las medidas de seguridad que debe cumplir el responsable en función del tipo de datos que contenga el fichero y el nivel de seguridad aplicado (Art. 9 y 12.2 LOPD). 4. Delimitar el tiempo de ejecución del servicio. 5. Determinar de forma concreta las condiciones de devolución de los datos o destrucción de los datos una vez cumplido el servicio (Art. 12.3 LOPD y 22RLOPD). 6. Existencia de una clausula de confidencialidad, tanto al proveedor de la nube, como a sus empleados que puedan acceder a los datos. 7. Establecer la obligación del encargado, en el caso de que los interesados ejerciten sus dere- chos ARCO19 ante el mismo, de dar traslado de la solicitud al responsable. A excepción, en el caso de que exista un acuerdo entre el proveedor de la nube y el cliente de que dicha gestión la realice directamente el encargado de tratamiento. Otro criterio a tener en cuenta en base a la normativa de protección de datos es la obligación del encar- gado de tratamiento a disponer de un Documento de Seguridad, ya que el proveedor de la nube, según el tipo de nube y el servicio que preste al responsable, encaja como agente tratante definido en el artículo 82.2 del RLOPD. Este documento de seguridad debe cumplir con los requisitos que le exige el artículo 88 del RLOPD. Por lo tanto, podemos decir que, tanto el encargado de tratamiento como el responsable del tratamiento, tienen las mismas obligaciones de cumplimiento de implementación de las medidas de seguridad que exi- ge la normativa. Además, se debe tener en cuenta que el RLOPD, en su artículo 20.2, exige al responsable, es decir al cliente que contrata el servicio en la nube, que vigile el cumplimiento por parte del encargado de tratamiento, y por tanto, se obliga al responsable tener una diligencia a través de algún sistema que permita la realización de controles periódicos. En cuanto a la posibilidad de existencia de subcontratación de servicios externos por parte del proveedor de computación en la nube, en los cuales estos subencargados tengan acceso a datos de carácter perso- 18 Los aspectos de contratación se tratan específicamente en el Capítulo 7, no obstante, se incluyen en este capítulo los requerimientos de contratación específicos en materia de privacidad establecidos por la LOPD. 19 Acrónimo utilizado comúnmente para referirse a los derechos de acceso (A), rectificación (R), cancelación (C) y oposición (O) de los titulares de los datos. 4. Cumplimiento legislativo en materia de Privacidad 27
  • 28. Cloud Compliance Report Capítulo Español de Cloud Security Alliance nal, la ley no descarta la legitimidad de esta posibilidad, pero obliga a cumplir los siguientes requisitos (incluidos en el artículo 21 RLOPD): • Que los servicios que se pretende subcontratar se hayan previsto en el contrato entre el provee- dor y el cliente de este servicio. • Que se especifique en el contrato el contenido detallado del servicio subcontratado. • El cliente debe establecer las instrucciones de cómo tratar los datos. En definitiva, las empresas que deseen contratar un servicio de computación en la nube, deben tener en cuenta que existe una normativa estatal que impone al encargado del tratamiento la obligación de procesar los datos del cliente de acuerdo con el sistema de seguridad establecido por la regulación de protección de datos. 4.4.2.2 Otros agentes En la prestación de los servicios del proveedor de computación en la nube intervienen otros agentes sin los que no sería posible la comunicación y el acceso a la información en la nube. Dichos agentes son los operadores de telecomunicaciones y los prestadores de servicios de acceso a la red. Estos operadores explotan las redes públicas de comunicaciones gestionando y garantizando el tráfico de datos que circulan por su infraestructura o prestan servicios de comunicaciones electrónicas, disponibles al público, consistentes en permitir el acceso a las redes públicas de comunicaciones entre otros servicios. En tal supuesto, los datos de los abonados o usuarios son aquellas personas físicas o jurídicas que contra- tan el servicio ya sea directamente al operador que hace a la vez de proveedor de servicios de Internet (ISP, por sus siglas en inglés) o a través de un tercero que alquila los servicios de explotación al operador de red. Por lo tanto, al considerarse sujetos obligados en base a la siguiente normativa20: • Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones. • Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones. Se establece una serie de requisitos, en relación a la protección de datos, que se deben cumplir21: • Identificar al personal autorizado para acceder a los datos que son objeto de esta Ley. • Adoptar medidas de seguridad con sujeción a lo dispuesto en el Título VIII del RLOPD. En base a la normativa aplicable se establece que el operador de telecomunicaciones que no preste ser- vicios de acceso a la red directamente al abonado podría considerarse prestador de servicios sin acceso 20 Esta legislación se analiza en detalle en el Capítulo 5. 21 Ver Art. 8 de la Ley 25/2007 “Protección y seguridad de los datos” y Art. 34 de la Ley 32/2003 “Protección de datos de carácter personal”. 4. Cumplimiento legislativo en materia de Privacidad 28
  • 29. Cloud Compliance Report Capítulo Español de Cloud Security Alliance a datos personales de los ficheros de los abonados o usuarios (que actúan en calidad de responsables de tratamiento)22 al tener prohibido en base al artículo 3.3 de la ley 25/2007 la conservación de ningún dato que revele el contenido de las comunicaciones a excepción de los supuestos de interceptación de las comunicaciones autorizadas en base a lo contemplado en leyes especiales. Por lo tanto, deberá cumplir con el artículo 83 del RLOPD. El ISP podría equipararse a la figura del operador de telecomunicaciones, en el supuesto que se limite a prestar servicio de acceso a la red y, por tanto, se considere que presta un servicio sin acceso a datos personales de los ficheros de los abonados o usuarios debido a la prohibición de conservar ningún dato que revele el contenido de las comunicaciones según el artículo 3.3 de la ley 25/2007 a excepción de los supuestos de interceptación de las comunicaciones autorizadas en base a lo contemplado las leyes especiales. Por lo tanto, al igual que el operador de telecomunicaciones, también deberá cumplir con el artículo 83 del RLOPD. En el supuesto de que el ISP preste servicios complementarios de housing o hosting de correo electrónico o disco duro virtual, por ejemplo, debería considerarse encargado de tratamiento de los datos contenidos en los ficheros de los abonados y por tanto cumplir con los requisitos del artículo 12 LOPD y artículos 20 a 22 del RLOPD. 4.4.3 Recomendaciones Abordando el tratamiento de datos desde un punto de vista de ciclo de vida y teniendo en cuenta las obligaciones y el cumplimiento legal, se pueden enumerar una serie de recomendaciones básicas para cada uno de los perfiles posibles: Empresa proveedora de servicios en la nube, empresa contratante de las mismas y usuarios23. El concepto de tratamiento de datos engloba las fases de creación, almacenamiento, uso, compartición o comunicación, archivo y cancelación de la información. En concreto, y con el fin de no solaparse con otros estudios, en esta fase se va a centrar en el almacenamiento, uso y archivo de la información. Tres conceptos básicos se deben tener en cuenta en relación al tratamiento de los datos, sea cual sea el ámbito de aplicación o actuación: • Recurso: Información sobre la que se desea actuar. • Acción: Tipo de actuación que se quiere realizar sobre un recurso. • Actor: Usuario que desea realizar una acción determinada sobre un recurso en concreto. La combinación de estos tres conceptos y cómo se gestionan, establecerá el ámbito de actuación en rela- ción al tratamiento de los datos. 22 Delimitación de la figura de responsable y encargado en el Operador de telecomunicaciones contemplada en el Dictamen 1/2010 del Grupo del Artículo 29 sobre los conceptos de «responsable del tratamiento» y «encargado del tratamiento» (WP 169): http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_es.pdf . 23 Personas afectadas por el tratamiento de sus datos personales. 4. Cumplimiento legislativo en materia de Privacidad 29
  • 30. Cloud Compliance Report Capítulo Español de Cloud Security Alliance 4.4.3.1 Empresa proveedora Las responsabilidades del proveedor se relacionan según el tipo de servicio que se contrate, ya que el tipo de servicio nos indica el grado de responsabilidad que le afecta. Por eso, el proveedor es responsable de pro- porcionar los controles de medidas de seguridad que exige la normativa, en base al servicio contratado. El proveedor de computación en la nube será considerado encargado de tratamiento de los datos conte- nidos en los ficheros de los clientes y, por tanto, deberá cumplir con los requisitos del artículo 12 LOPD y artículos 20 a 22 del RDLOPD. Los proveedores de computación en la nube, como usuarios de las redes de comunicación y con provee- dor propio de ISP, deberán verificar el cumplimiento legal y legitimación de estos últimos agentes que le permiten prestar el servicio a sus clientes finales. Tal verificación previa de cumplimiento normativo será necesaria para que los contratos de encargado de tratamiento con los clientes finales puedan reflejar la información referente a los subencargados que per- mitirán la prestación de servicio. En las cláusulas del contrato se deberá resaltar la finalidad de dichos su- bencargos, la identificación geográfica de los agentes operadores y ley aplicable, así como una remisión de las medidas de seguridad aplicables y el compromiso de responsabilidad de cualquier incumplimiento normativo. Cualquier incumplimiento de las estipulaciones del contrato será asumido directamente por la empresa proveedora como responsable directo ante el propio cliente (responsable de fichero o tratamiento) y ante las autoridades competentes de protección de datos. De manera general, la principal consideración sería que el papel del proveedor debe ser el de proporcionar las herramientas necesarias y suficientes al propietario o responsable de la información en función del tipo de nube (IaaS, PaaS, SaaS), siguiendo las pautas establecidas por la legislación actual y las normativas o pro- cedimientos que la organización propietaria de la información tenga desplegadas. En consecuencia con lo comentado, desde el punto de vista de ciclo de vida del tratamiento de la información hay que considerar: • Almacenamiento o Control de acceso a la información. o Gestión de la documentación (meta-información que lleva asociada la documentación o informa- ción). En este punto, es importante remarcar que el tipo de clasificación que se defina en combi- nación con las capacidades de actuación que un usuario pueda poseer, proporciona un marco de control de acceso y gestión de la documentación muy avanzada, granular y programable a cualquier escenario, que es uno de los objetivos principales de cualquier tipo de nube. o Cifrado de la información. o Trazabilidad y auditoría. • Uso o Trazabilidad y auditoria. o Lógica de aplicación. o Control de acción sobre la información. • Archivo o Cifrado de la información en medios de almacenamiento de medio-largo plazo. o Gestión de activos y trazabilidad. 4. Cumplimiento legislativo en materia de Privacidad 30
  • 31. Cloud Compliance Report Capítulo Español de Cloud Security Alliance 4.4.3.2 Empresa cliente Todo cliente, responsable del tratamiento de datos personal, que contrata la prestación de un servicio en la nube, debe velar que el encargado del tratamiento reúna e implante las garantías para el cumplimiento de las obligaciones en virtud de la normativa en materia de protección de datos. El propietario de la información debe analizar los riesgos sobre el ciclo de vida de la información y los acti- vos que lo contienen y gestionan. Por ello, la normativa de protección de datos y las diversas normativas de seguridad de la información establecen la necesidad de llevar a cabo una auditoría interna o externa. Para garantizar la trazabilidad y auditoría se recomienda establecer en el contrato una clausula contrac- tual del derecho a auditar, de manera que el proveedor de la nube acepte ser auditado. Sobre todo en este caso, en que el propietario de la información tiene responsabilidades de cumplimiento normativo24. También es recomendable desarrollar un proceso para recopilar evidencias del cumplimiento normativo, incluyendo los registros de auditoría e informes de la actividad, gestión y procedimientos25. También podría darse el caso de generar contratos de adhesión donde el nivel de seguridad aplicable a la prestación del servicio en la nube deberá ser indicado por parte del responsable del fichero y este último aceptar en bloque las medidas adoptadas por su prestador de servicios de computación en la nube. En conclusión, se debe prestar atención a la elección de un proveedor de la nube, verificando que pro- porciona suficientes medidas de seguridad técnicas y medidas organizativas que rigen el tratamiento a realizar, y garantizar el cumplimiento de dichas medidas. De manera general, podríamos decir que el cliente, con el fin de cumplir las obligaciones del responsable de tratamiento hará uso de las herramientas y técnicas que el proveedor le ofrezca. En consecuencia con lo co- mentado, desde el punto de vista de ciclo de vida del tratamiento de la información deberíamos considerar: • Almacenamiento o Control de acceso a la información. o Gestión de la documentación. o Cifrado de la información. o Trazabilidad y auditoría. En este punto sería interesante que el proveedor ofreciese la posibili- dad de programar diferentes tipos de alertas que avisen al contratante de situaciones de riesgo o pérdida de información. • Uso o Trazabilidad y auditoria. o Lógica de aplicación. o Control de acción sobre la información. • Archivo o Cifrado de la información en medios de almacenamiento de medio-largo plazo. o Gestión de activos y trazabilidad. 24 Este aspecto se trata con mayor generalidad en el apartado 7.10 Auditabilidad. 25 Para un análisis más detallado de este aspecto se puede consultar el Capítulo 8. 4. Cumplimiento legislativo en materia de Privacidad 31
  • 32. Cloud Compliance Report Capítulo Español de Cloud Security Alliance 4.4.3.3 Usuarios En el caso de los usuarios, debemos asegurar que puedan ejercer sus derechos, al igual que se debe ase- gurar el cumplimiento de sus derechos fuera de la nube: • Almacenamiento o Control de acceso a la información. o Trazabilidad. • Uso o Trazabilidad. o Control de acción sobre la información. 4.5 Medidas de seguridad 4.5.1 Empresa proveedora Los proveedores de servicios en la nube disponen, por definición, de una infraestructura distribuida sobre la que deberán desarrollar un marco de control a nivel de los datos que permita trazar en todo momento su localización y el tratamiento de los mismos. Adicionalmente, el proveedor del servicio en la nube puede subcontratar parte de sus servicios a terceros. En esos casos, el proveedor deberá adoptar las medidas necesarias para asegurar que el proveedor subcontratado aplica las medidas necesarias para asegurar la privacidad y confidencialidad de los datos.26 Sin embargo, independientemente del modelo de servicios, las empresas proveedoras de servicios en la nube, al igual que la totalidad de las entidades que llevan a cabo cualquier tipo de actividad en España, están afectadas directamente por la LOPD así como su desarrollo reglamentario (RLOPD). 4.5.1.1 Documento de seguridad Aquellas empresas que operen en España deberán disponer de un ‘Documento de Seguridad’ que descri- ba las medidas de seguridad aplicadas para proteger los ficheros que contengan datos personales de sus empleados, clientes y/o proveedores, tal como indica el artículo 88 del RLOPD. Para el tratamiento en la nube se tendrá especial cuidado en detallar qué tipos de datos se están o van a tratar y el nivel que deberá aplicar la empresa proveedora de servicios en la nube. La empresa proveedora de servicios en la nube deberá facilitar las herramientas de auditoría que la em- presa contratante requiera para cumplir con sus obligaciones. 4.5.1.2 Responsable de Seguridad En el Documento de Seguridad se indicará el o los responsables de seguridad designados por el proveedor de servicios en la nube. 4.5.1.3 Control de acceso e identificación En esta apartado nos estamos refiriendo al control de acceso a la información que ejerce una organización ante la petición de acceso de un usuario. No nos estamos refiriendo a la comunicación de la información entre agentes o aplicaciones, es de suponer que si durante el flujo del proceso de acceso a los datos, se 26 En el Capítulo 6 se analiza en detalle la implantación de Sistemas de Gestión de Seguridad de la Información y la interrelación entre sistemas de clientes y proveedores de servicios en la nube. 4. Cumplimiento legislativo en materia de Privacidad 32
  • 33. Cloud Compliance Report Capítulo Español de Cloud Security Alliance ha alcanzado el nivel de control de acceso, se han cumplido todas las restricciones aplicables en el nivel de comunicación y transmisión de la información. El proveedor del servicios en nube (en función del tipo de servicio) deberá proporcionar las herramientas necesarias y suficientes al propietario o responsable de la información, siguiendo las pautas establecidas por la legislación actual y las normativas o procedimientos que la organización propietaria de la informa- ción tenga desplegadas. Para ello, será necesario disponer de un buen sistema de clasificación de la información sobre el que apo- yarse a la hora de aplicar las medidas de seguridad, incluido las de control de acceso e identificación27. En este punto, es importante remarcar que el tipo de clasificación que se defina en combinación con las capacidades de actuación que un usuario pueda poseer, proporciona un marco de control de acceso y gestión de la información muy avanzada, granular y programable a cualquier escenario, que es uno de los objetivos principales de cualquier tipo de nube. Si nos centramos en la LOPD, el nivel de control de acceso trata el consentimiento explícito por parte del afectado (LOPD), es decir, a quién se le permite el acceso y para qué. Estos controles se reflejan en un conjunto de políticas de autorización/acceso que serán definidas y gestionadas por parte del proveedor y/o por el propietario de la información. 4.5.1.4 Gestión de incidencias De acuerdo con lo estipulado en los Artículos 90 y 100 (nivel bajo y medio) del RLOPD, el proveedor de servicios en la nube deberá disponer de un procedimiento de notificación, gestión y respuesta de las incidencias, entendiendo por “incidencia” cualquier anomalía que afecte o pueda afectar a la seguridad de los datos. Ante cualquier anomalía que afecte a los datos carácter personal el proveedor de servicios en la nube deberá notificarla inmediatamente al cliente que ha delegado la gestión de los datos en el proveedor. 4.5.1.5 Copias de seguridad y recuperación Para todo proveedor de servicios de en la nube la disponibilidad de los servicios es vital para su negocio, dada la multiterritorialidad de sus clientes. En este escenario, es fundamental disponer de un sistema de copias de seguridad, así como de un plan de recuperación de la información almacenada. Desde un punto de vista LOPD, es importante tener en mente que el propietario o responsable de la infor- mación es el encargado de decidir cómo debe ser almacenada la documentación. El proveedor del servi- cio en la nube únicamente deberá proporcionar las herramientas necesarias para que se pueda gestionar cómo se va a almacenar la documentación. 4.5.1.6 Auditorias El auditor es la figura garante del cumplimiento de unas buenas prácticas y de la existencia de un nivel de control suficiente por parte del proveedor del servicio de computación en la nube, así como de posibles 27 La clasificación de la información se trata en detalle en el capítulo 6 relativo a los Sistemas de Gestión de Seguridad de la Información. 4. Cumplimiento legislativo en materia de Privacidad 33
  • 34. Cloud Compliance Report Capítulo Español de Cloud Security Alliance terceros a los que se hayan cedido los datos para su tratamiento. Para ello, el auditor, en el caso de que el proveedor de servicios en la nube acepte ser auditado, deberá ser un tercero independiente. Uno de los retos fundamentales del auditor será la obtención de evidencias de la realización de las tareas de control interno, así como la ubicación física de los datos. Por ello, el trabajo del auditor, dada la dispersión intrínseca a la arquitectura de la computación en la nube tendrá que adoptar un enfoque multi-territorial. La cuestión fundamental en este caso es cómo el propietario de la información (y el responsable de segu- ridad) tiene acceso y control de la trazabilidad y auditoría de su información y de los accesos que se han realizado sobre ella. Este aspecto es vital para el cumplimiento del marco legal en relación a la protección de datos personales y en relación a determinadas normativas de seguridad de la información. Es importante señalar que el proveedor de servicios en la nube deberá proporcionar las herramientas necesarias para que el propietario pueda ejercer sus obligaciones, ofreciendo un marco de gestión de la trazabilidad y auditoría de los accesos permitidos y los accesos no permitidos, así como un registro de las incidencias ocurridas relativas a los datos de carácter personal. Asimismo cabe destacar la diferencia de planteamiento cuando la información está localizada en un único punto o bien está distribuida por un número determinado de nubes. Este aspecto es transparente para el propietario o responsable de la información, pero no para el proveedor de servicios en la nube, ya que deberá desplegar un sistema de gestión y correlación de eventos de seguridad (SIEM) o similar en entorno colaborativo según sea el caso. 4.5.1.7 Telecomunicaciones El proveedor de servicios en la nube deberá proporcionar los mecanismos adecuados para proteger la confidencialidad y privacidad de la información que circule a través de sus sistemas e infraestructuras de comunicaciones. Para ellos, deberá aplicar medidas criptográficas o de cifrado que protejan la informa- ción de accesos no autorizados (por ejemplo, SSL-TLS, IPSec, Kerberos, etc.) 4.5.2 Empresa cliente El cliente es donde empieza y acaba el servicio. Son sus datos o los de sus clientes los que debe proteger directamente o a través del proveedor de servicios en la nube. El cliente es el responsable de definir la política de seguridad y privacidad que aplicar a sus datos. Podemos agrupar a los clientes en base a: • Modelo de “Cloud” • Tamaño de su Organización Modelo de “Cloud” • Infrastructure as a Service (IaaS) El cliente es el responsable de la mayor parte de los controles de seguridad, incluyendo control de acceso de las aplicaciones, gestión de identidades de usuarios, etc. 4. Cumplimiento legislativo en materia de Privacidad 34
  • 35. Cloud Compliance Report Capítulo Español de Cloud Security Alliance • Platform as a Service (PaaS) El cliente gestiona y controla las aplicaciones de software y, por lo tanto, es responsable de los controles de aplicación. • Software as a Service (SaaS) El cliente es un mero usuario o receptor del servicio que delega toda la responsabilidad en el proveedor de servicios en la nube. El cliente centrará sus esfuerzos en la supervisión de los Acuerdos de Nivel de Servicio (ANS) y de las medidas de seguridad. Dependerá de la infor- mación proporcionada por el proveedor. Modelo de Organización Las personas jurídicas actúan como intermediarios entre las personas físicas (clientes, empleados, proveedores, etc.) y el proveedor de servicios en la nube. Son los custodios de los datos obtenidos de sus propios clientes. • Grandes Corporaciones Multinacionales: Se trata de entornos muy complejos con gran cantidad de datos procedentes de distintos países con diferentes requisitos. Disponen de una estructura de con- trol interna que deberá adaptarse a las circunstancias de la computación en la nube. Su herramienta básica de gestión será un Acuerdo de Nivel de Servicio (ANS) que permita regular la relación. La principal dificultad estará en detectar incumplimientos y hacer que se respete el ANS28. • Pequeña y Mediana Empresa: Suele tratarse de organizaciones que carecen de un marco de control interno o es muy limitado, por lo que deberán confiar en la debida diligencia del proveedor en la prestación del servicio y el cumplimiento de la legislación vigente. Sus deci- siones de abogar por la computación en la nube dependerá de cuestiones económicas y de la confianza que generen las soluciones basadas en la misma. En este grupo estarían incluidos microempresas, autónomos y profesionales liberales. En este caso, aplicarán los mismos requisitos que al proveedor de servicios en la nube. Sin embargo, en este caso el Documento de Seguridad deberá tener en cuenta que la gestión de muchos de los procedi- mientos de gestión de la información corresponderá al proveedor. 4.5.2.1 Responsable de seguridad El responsable de seguridad es la figura encargada de definir las medidas de seguridad a implantar para asegurar la privacidad y confidencialidad de los datos, de acuerdo con los requisitos de cada país. El responsable de seguridad tiene la difícil misión de armonizar los diferentes requisitos de tal modo que den como resultado un marco de control coherente. El responsable de seguridad debe realizar una labor de coordinación con el proveedor de servicios en la nube e internamente, dentro de su organización. Cabe destacar, la necesidad de colaboración entre los responsables de seguridad del proveedor de servicios en la nube y del cliente. Asimismo, deberá supervisar la implantación de las medidas de seguridad definidas y monitorizar de for- ma periódica su cumplimiento y la adecuada resolución de las anomalías que se detecten. La preocupación del responsable de seguridad ahora es la información (los datos), no el contenedor o la infraestructura. 28 Para un análisis más detallado de los Acuerdos de Nivel de Servicio, consultar el apartado 7.12 4. Cumplimiento legislativo en materia de Privacidad 35
  • 36. Cloud Compliance Report Capítulo Español de Cloud Security Alliance Son especialmente sensibles las trasferencias de datos entre países, donde los datos de un país A viajan a un país B con requisitos distintos en materia de privacidad (como veremos en el siguiente apartado). 4.5.2.2 Control de acceso e identificación La empresa que contrata servicios en la nube deberá definir las medidas de control de acceso a la infor- mación de carácter personal de sus empleados, clientes o proveedores en base a su clasificación y nivel de seguridad (alto, medio o bajo). Asimismo, deberá asegurar la posibilidad de acceso de las personas a sus datos personales para su con- sulta, modificación o eliminación. 4.5.2.3 Gestión de incidencias El responsable de seguridad del cliente deberá conocer y validar el procedimiento de notificación, gestión y resolución de incidencias del proveedor de servicios en la nube. Asimismo, deberá supervisar la adecua- da resolución de las incidencias detectadas. 4.5.2.4 Copias de seguridad y recuperación El cliente deberá conocer y validar el procedimiento de realización y recuperación de copias de seguridad de su proveedor de servicios en la nube. Asimismo, se deberá acordar un plan de copias adecuado con el propietario de los datos y con el proveedor. El responsable de seguridad del cliente deberá supervisar la adecuada ejecución de dichos procedimien- tos de copia y recuperación de los datos. 4.5.2.5 Auditorias Tal y como se especifica en el RLOPD, el responsable de seguridad será responsable de que se lleve a cabo una auditoria bienal (excepto en el caso de ficheros de nivel bajo) con objeto de validar el cumplimiento de los requerimientos de dicho reglamento. En caso de que se produzcan cambios significativos sobre los sistemas de información o instalaciones, se realizará una auditoría de carácter extraordinario, a partir de la cual se reiniciará el cómputo de los dos años hasta la siguiente auditoría. Para aquellos datos cuya gestión se delega en el proveedor de servicios en la nube, se deberá obtener la conformidad correspondiente, bien a través de una auditoría directa por parte del cliente o bien que el proveedor proporcione una auditoría tipo SAS 70 o ISAE 3402 que incluya en su alcance la validación del cumplimiento de los requisitos exigidos por la LOPD. 4.6 Transferencias Internacionales 4.6.1 Descripción general Las transferencias internacionales de datos de carácter personal tienen una regulación específica que se ha de considerar para la computación en la nube, dado el frecuente carácter transnacional de ésta. No se van a considerar en este apartado las cesiones o comunicaciones de datos a otro responsable de fi- chero, dado que en ese caso se deberá cumplir la regulación correspondiente pero el hecho de estar en un caso de computación en la nube no supone implicaciones adicionales. Asimismo, no se van a considerar los aspectos relacionados con la seguridad de la transferencia que son considerados en el apartado 4.5. 4. Cumplimiento legislativo en materia de Privacidad 36
  • 37. Cloud Compliance Report Capítulo Español de Cloud Security Alliance Por tanto, se contemplan los movimientos transfronterizos de datos que no sean considerados cesión o comunicación de datos. Esta situación se da en dos casos: • El movimiento de datos transfronterizo lo realiza el responsable del tratamiento sin comunicar los datos a terceros. • El movimiento de datos transfronterizo implica el acceso de un tercero a los datos, pero dicho acceso es necesario para la prestación de un servicio al responsable del tratamiento29. Dicho tercero actuaría como ‘encargado del tratamiento’. En ambos casos, al no tratarse de una comunicación de datos desde el punto de vista de la legislación sobre protección de datos, no es preciso el permiso del interesado aunque sí aplica la regulación referente a las transferencias internacionales de datos. 4.6.2 Legislación aplicable Las transferencias internacionales de datos de carácter personal están reguladas en: • Capítulo IV “Transferencia de datos personales a países terceros” de la Directiva 95/46/CE [Directiva 1995]. • Título V “Movimiento internacional de datos” de la LOPD. • Título VI “Transferencias Internacionales de datos” del RLOPD. Un aspecto clave en la regulación aplicable es si la transferencia se hace a un país con un nivel de protec- ción adecuado o a un país que no tiene un nivel adecuado. Los países entre los que los datos se pueden mover sin ningún requisito adicional a los de los movimientos dentro del propio país son los 27 estados miembros de la Unión Europea y los tres países miembros del EEE. Adicionalmente, la Comisión Europea ha reconocido hasta ahora30 que tienen un nivel de protec- ción adecuado los siguientes países: Suiza, Canadá, Argentina, Jersey, Isla de Man, los principios sobre privacidad Safe Harbor del Departamento de Comercio de los Estados Unidos y la transferencia del “Air Passenger Name Record” a la Oficina de Aduanas y protección de fronteras de los Estados Unidos. La regulación para cada uno de estos dos casos es: • País de la UE, EEE o con un nivel adecuado de protección de datos. El movimiento transfron- terizo de datos no implica requisitos adicionales a los movimientos dentro del país, salvo su identificación en la notificación del fichero al Registro General de Protección de Datos. Asimismo se deberá tener en cuenta: o Movimientos realizados por el responsable del tratamiento: Deberá cumplir los requi- sitos de seguridad establecidos en el título VIII del RLOPD. 29 Ver artículo 12 de la LOPD. 30 Ver información actualizada en http://ec.europa.eu/justice/policies/privacy/thridcountries/index_en.htm 4. Cumplimiento legislativo en materia de Privacidad 37
  • 38. Cloud Compliance Report Capítulo Español de Cloud Security Alliance o Movimientos con participación de un encargado del tratamiento: Deberá cumplir los requisitos para la prestación de este tipo de servicios (artículo 12 LOPD y artículos 20 a 22 del RLOPD). o Movimientos dentro de un grupo multinacional. Se puede hacer de dos maneras: • Cumplir los requisitos para los encargados del tratamiento (artículo 12 LOPD y artículos 20 a 22 del RLOPD) • Establecer unas ‘Binding Corporate Rules’ (BCR)31 que regulen los movimientos de datos. • País sin un nivel adecuado de protección de datos En este caso, el movimiento transfronterizo de datos tiene los mismos requisitos de legi- timidad que el anterior y en todos los casos será necesario recabar la autorización de la autoridad competente, el Director de la Agencia Española de Protección de Datos, en el caso español (art. 70 del RLOPD). Asimismo, se deberá incluir la información so- bre la transferencia en la notificación al Registro General de Protección de Datos. Para que el Director conceda el permiso, deberá existir un contrato escrito entre el expor- tador y el importador en el que consten las necesarias garantías de respeto a la pro- tección de la vida privada de los afectados y a sus derechos y libertades fundamenta- les y se garantice el ejercicio de sus respectivos derechos. A tal efecto, se considerará que establecen las adecuadas garantías los contratos que se celebren de acuerdo con lo previsto en las Decisiones de la Comisión Europea sobre cláusulas contractuales32. Los grupos multinacionales pueden optar por el modelo general basado en contratos caso por caso o adoptar y conseguir la aprobación por la autoridad competente de unas normas o reglas internas (Binding Corporate Rules) en que consten las necesarias garantías de respeto a la protección de la vida privada y el derecho fundamental a la protección de datos de los afectados y se garantice el cumplimiento de la regulación sobre la materia. 4.6.3 Aspectos más relevantes En general, la responsabilidad sobre el control de legalidad, en todos sus aspectos, respecto de las condi- ciones para legitimar las transferencias internacionales de datos recae en el cliente de servicios en la nube que será el responsable desde el punto de vista de la protección de datos personales y quien deberá tener en cuenta las consideraciones realizadas en el punto anterior. 31 Ver documentos wp153 y wp154 del Grupo del artículo 29 en http://ec.europa.eu/justice/policies/privacy/ workinggroup/wpdocs/2011_en.htmo 32 - 2010/87/EC: Commission Decision of 5 February 2010 on standard contractual clauses for the transfer of personal data to processors established in third countries under Directive 95/46/EC of the European Parliament and of the Council - 2004/915/EC: Commission Decision of 27 December 2004 amending Decision 2001/497/EC as regards the introduction of an alternative set of standard contractual clauses for the transfer of personal data to third countries - 2001/497/EC: Commission Decision of 15 June 2001 on standard contractual clauses for the transfer of personal data to third countries, under Directive 95/46/EC 4. Cumplimiento legislativo en materia de Privacidad 38