Actualidad | Noticias | 06 JUL 2011

Clientes y proveedores de cloud computing deben vigilar el cumplimiento normativo

Tanto los clientes como los proveedores de servicios de cloud computing han de ser conscientes de las normativas y regulaciones a las que están sujetos y han de garantizar el cumplimiento de las mismas. Para ello las relaciones entre ambas partes deben basarse en la transparencia.
Network World
 

Esta es una de las principales recomendaciones del primer informe de ámbito internacional sobre el cumplimiento normativo de cloud computing (Cloud Compliance), elaborado por el Capítulo Español de Cloud Security Alliance (CSA-ES), impulsado por ISMS Forum Spain y Barcelona Digital Centro Tecnológico. Tales recomendaciones podrían también ser de aplicación a los modelos más tradicionales de externalización de servicios, como el housing o el hosting.

El informe, denominado Cloud Compliance Report”, aborda de manera amplia los aspectos fundamentales a tener en cuenta en la contratación de servicios cloud, como, por ejemplo, aquéllos relacionados con el cumplimiento normativo, la gestión de la privacidad de los datos, las normativas y regulaciones exigibles o de carácter voluntario en España, las metodologías más elementales para la auditoría de servicios en la nube o las recomendaciones operacionales básicas relacionadas con la gestión de evidencias electrónicas en este tipo de entornos.

cloud computing cumplimiento norrmativoSegún el informe, los clientes han de informar a los proveedores de cloud computing sobre los tratamientos de datos de carácter personal que están realizando y los requisitos que sobre ellos existen. Estos, a su vez, deben identificar e informar de las ubicaciones en las que realizarán dichos tratamientos o de proveedores a los que ellos subcontraten parte de sus servicios, así como establecer mecanismos de coordinación entre ambas partes para asegurar que se puede dar cumplimiento a los derechos de los afectados de manera responsable.

Gestión de la seguridad

En cuanto a la implantación de sistemas de gestión de la seguridad de la información en cloud computing, el informe ofrece recomendaciones en el sentido de ampliar los canales de comunicación en materia, por ejemplo, de valoración de riesgos, de incidencias y de variación de los niveles de riesgo, así como de coordinación (como, por ejemplo, en materia de definición de roles y responsabilidades, respuesta a incidentes o realización de tareas de seguimiento y auditoría).

En relación a los factores de contratación de servicios cloud, las recomendaciones también tienen la misma orientación, haciendo referencias a los SLA (acuerdos de nivel de servicio) como herramientas fundamentales para definir y monitorizar el servicio, pero también con aspectos como determinar la propiedad intelectual de los distintos elementos de la provisión del servicio, establecer mecanismos de resolución de conflictos o clarificar desde el inicio la jurisdicción aplicable.

Por lo que se refiere a los aspectos relacionados con la validación del cumplimiento (evidencias y auditoría) en cloud computing, las recomendaciones se centran en los aspectos de coordinación (quién debe encargarse de qué tarea en aspectos como elaboración de métricas, realización de revisiones, etc.), así como en el establecimiento de un entorno fiable mediante la implantación de mecanismos como procedimientos de gestión de evidencias, medidas de protección de los registros de auditoría, planificación de auditorías, etc.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información