Nota de prensa: Todo lo que tu proveedor cloud debe hacer por ti en cumplimiento del RGPD
- La nueva normativa impone a las empresas la obligación de elegir un “proveedor serio”
- El proveedor cloud como “encargado de tratamiento” debe seguir las instrucciones documentadas por el cliente, pero también debe tomar medidas concretas de seguridad
Madrid, 19 de junio de 2018.- acens (www.acens.com), especialista en servicios de Cloud Hosting, Hosting, Housing y Soluciones de Telecomunicaciones para el mercado empresarial, ha compartido su visión sobre lo que debe hacer un proveedor de servicios cloud en cumplimiento del RGPD en la última edición de OpenExpo Europe, contando para la ocasión con Tomás Serna, abogado especializado en sectores de Internet, media y high-tech, como portavoz: “Soy responsable de la elección del proveedor que haga. Si no elijo un partner serio y con medios, la responsabilidad de lo que ocurra será mía”, explica Serna. La normativa no concreta qué se entiende por proveedor serio, pero apunta las siguientes claves a tener en cuenta al elegir un proveedor cloud:
- Deberá comunicar al responsable si subcontrata a otro proveedor y transmitirle las obligaciones correspondientes. La ley no impide subcontratación de servicios, pero exige transparencia en la relación contractual entre la empresa y el proveedor de servicios cloud y la necesidad de comunicar debidamente las obligaciones a cumplimentar por todos y cada uno de los proveedores subcontratados conforme al RGPD.
- Formalizará un compromiso de confidencialidad y con el personal de administración y operación de sistemas y les formará en GDPR. “El personal de administración y operación de sistemas ha de recibir la formación necesaria para realizar las labores de gestión en los sistemas implicados, disponer de las normas y procedimientos para la realización de éstas y ser consciente del compromiso de acens en lo relativo a la confidencialidad e integridad de los datos del cliente”, explica este experto en RGPD. Además “se mantiene una relación actualizada de usuarios con acceso autorizado a la administración y operación de los sistemas de información, existiendo un procedimiento de asignación, distribución y almacenamiento de contraseñas de acceso que garantiza su confidencialidad e integridad, implantando mecanismos para la identificación de forma inequívoca y personalizada de estos usuarios. Asimismo, se indica el acceso autorizado para cada uno de los usuarios, además de la lista de personal con autorización para conceder, alterar o anular el acceso autorizado sobre datos y recursos relativos al servicio prestado por acens”, señala Serna.
- Garantizará que únicamente accede al CPD el personal autorizado. Medidas de seguridad física en Data Centers como el control de acceso, vigilancia 24×7 y acceso biométrico para garantizar que únicamente accede a las mismas el personal autorizado. Además, CCTV, sistemas de alimentación ininterrumpida, climatización, detección y extinción de incendios, sistemas tolerantes a fallos, etc.
- En función de los servicios, implementará medidas de seguridad concretas como la seudonimización y el cifrado para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. En relación con las medidas de seguridad el reglamento menciona algunos mecanismos y medidas de control como la seudonimización y el cifrado, para garantizar la confidencialidad, disponibilidad y acceso a los datos, así como la capacidad del sistema capacidad de soportar datos y recuperarse ante incidentes. “acens proporciona la base para mantener seguros los datos albergados en su infraestructura para que la empresa se preocupe de su negocio, pero sin dejar de tener presente los derechos de los interesados y las buenas prácticas en el uso de datos personales que efectúas por tu parte o que subcontrata a otros terceros”, señala.
- Sí lo incluye el servicio, realizará copias de seguridad para restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico. El proveedor cloud ha de realizar copias de seguridad de la información del cliente según el modelo de servicio de Backup contratado, cuota y planificación, pero será responsabilidad del cliente establecer la política de copias de seguridad, indicando los ficheros o directorios que se deben incluir en estas copias de seguridad, así como solicitar las restauraciones oportunas en su caso para realizar las verificaciones que estime pertinentes. Si el servicio de backup incluye la posibilidad de gestionar la planificación por parte del cliente, será responsabilidad del cliente realizar la planificación y verificar la realización de las copias en base a la información recibida. “acens realiza operaciones de control general para verificar el correcto funcionamiento de la plataforma que proporciona el servicio de backup. Además, puede proporcionar bajo demanda redundancia geográfica en las copias de seguridad, para su uso en caso de desastre en la ubicación principal”, señala Serna.
- Realizará tareas de verificación, evaluación y valoración de las medidas de seguridad, de forma regular e idealmente en el marco de un Sistema de Gestión de Seguridad.
- Notificará al cliente las incidencias de seguridad cuanto antes. La notificación de incidentes de seguridad a la autoridad competente ya existía para ciertos proveedores de servicio, pero ahora se amplía siendo de ámbito global para todas las compañías. “Una de las novedades más importantes que introduce esta regulación es la obligatoriedad de notificar las violaciones de seguridad cuando son relativas a la privacidad de datos. Hay un plazo de 72 horas e incluso dependiendo del tipo de incidente y de su gravedad será necesario comunicarlo a los usuarios afectados”, advierte Serna.
- Teniendo en cuenta el alcance del servicio, asistirá y ayudará al cliente en el cumplimiento de RGPD, e informará si considera que recibe instrucciones que pueden infringir el RGPD
- Pondrá disposición del responsable toda la información necesaria para demostrar el cumplimiento, en auditorías e inspecciones. Las autoridades competentes comprobarán en sus auditorías si se han tenido en cuenta la privacidad y protección de datos en la selección de proveedores. “acens cuenta con un Sistema de gestión de la Seguridad de la Información certificado y auditado por terceros desde hace más de 10 años. La compañía está habituada a las revisiones y a aportar la información que demuestra el cumplimiento, ofreciendo la debida colaboración y trasparencia a los clientes que lo solicitan”, explica Tomás Serna. “En acens no se preocupan por los datos albergados en sus CPDs, sino que se ocupan de la seguridad de dichos datos. Les preocupan los datos que estén almacenados en ubicaciones que no tengan medidas de seguridad, gestión y control similares a las que aporta acens”, concluyen Serna.
- Suprimirá o devolverá los datos al finalizar el contrato.
“acens tiene desarrolladas unas estrategias de respuesta, de cumplimiento, unas instalaciones técnicas con un nivel de inversión francamente impresionante”, comenta para finalizar Tomás Serna: “Yo conozco bastante bien a otros proveedores y hay muy poca gente que tenga el nivel de medios, y eso te da una gran tranquilidad”.
Puedes encontrar más información sobre Cloud Hosting, Internet y Tecnología en el Blog de acens. También puedes suscribirte al boletín de noticias aceNews, ver vídeos en acens.tv, apuntarte a cursos gratuitos en Formacionacens.com y seguirnos en Facebook (acenstec), Twitter (@acens), e Instagram (@acens_com).
Acerca de acens:
acens, empresa del grupo Telefónica, ofrece servicios de “Hosting”, “Housing” y Soluciones de Telecomunicaciones para el mercado empresarial, y es pionera en el desarrollo de las soluciones de Cloud Hosting más completas y competitivas del mercado. Desarrolla su actividad desde 1997 y ofrece sus servicios en España, Brasil, Perú y México. Además, posee dos Data Centers en España con más de 6.000 metros cuadrados, siendo una empresa líder en su sector de actividad. En la actualidad, la cartera de clientes supera los 67.000, con un amplio abanico de servicios contratados que comprenden desde el alojamiento de páginas web hasta soluciones de VPN (Red Privada Virtual) con “outsourcing” de servidores y aplicaciones y tránsitos de salida a Internet y soluciones de nube híbrida, públicas y privadas, para cubrir todas las necesidades tecnológicas y de negocio de las empresas. En 2016 ha desarrollado la plataforma Formacionacens.com para impartir cursos de soluciones Cloud de forma online y presencial, con Masterclasses para que los usuarios resuelvan dudas y vídeos explicativos.
acens gestiona 325.000 dominios y 1 millón de cuentas de correo de clientes. Aloja 130.000 webs en sus 6.500 servidores que ocupan 2 Petabytes de almacenamiento, y administra un caudal de salida a Internet superior a los 4 Gigabits a través de una red troncal multioperador con presencia en los puntos neutros (Espanix, Catnix…). acens Cloud Hosting ofrece a pequeñas y a grandes empresas modelos de trabajo más flexibles, seguros y eficaces, tanto en entornos de clouds privados como en públicos y mixtos.
Para más información:
Noizze Media para acens
Carmen Tapia / Ricardo Schell
ctapia@noizzemedia.com / ricardo.schell@noizzemedia.com
646 892 883 / 699 983 936
acens
Inma Castellanos
Si quieres estar a la última en tecnología y conocer todo lo que se mueve en el sector, ¡suscríbete a nuestro boletín!
Déjanos un comentario o cuéntanos algo.