El capítulo español de Cloud Security Alliance
publica un modelo de “Acuerdo de Nivel de Privacidad” para la
contratación de servicios en la nube
> El capítulo adapta el
estándar de Cloud Security Alliance Global al castellano para promover
su adopción en el mundo hispanohablante y la armonización internacional.
> Se trata de una herramienta de autorregulación que fomenta la transparencia y responsabilidad en materia de protección de datos.
> El modelo permite la
divulgación estructurada de las prácticas de los proveedores de cloud
computing, en materia de privacidad y protección de datos personales.
> Es un instrumento capaz de apoyar los procesos de toma
de decisión, al permitir a los usuarios evaluar el nivel de compromiso
de un proveedor con respecto a la protección de datos.
El capítulo español de Cloud Security Alliance (CSA-ES), iniciativa
impulsada por ISMS Forum, ha adaptado al castellano el estándar de
“Acuerdo de Nivel de Privacidad”, en su denominación inglesa “Privacy Level Agreement (PLA)”, promovido por la Cloud Security Alliance Global para la contratación de servicios cloud computing. El estándar se usará para describir el nivel de privacidad y protección de datos que un proveedor de servicios de cloud se compromete a mantener con respecto al tratamiento de los datos de carácter personal.
Esta herramienta de autorregulación se alinea con la normativa europea en materia de protección de datos, en vigor y en ciernes, y con las buenas prácticas y recomendaciones
de distintas autoridades de protección de datos (GT art. 29, ICO,
CNIL). La versión en castellano del PLA también ha tenido en cuenta la
recién publicada “Guía para la contratación de servicios de Cloud” de la
Agencia Española de Protección de Datos. Sus objetivos se alinean,
también, con la estrategia europea de cloud computing publicada en septiembre de 2012.
CSA-ES e ISMS Forum quieren contribuir a la generación de confianza y transparencia en la prestación de servicios en la nube.
Cumplimiento, protección de datos, seguridad y responsabilidad son las
piezas claves de este estándar, cuya adopción contribuirá a disminuir
las barreras existentes para la implantación generalizada de servicios
en la nube por parte de organizaciones españolas. Asimismo podría ayudar
a organizaciones establecidas en varios países de Latinoamérica, en los
que el enfoque legislativo y regulatorio en materia de protección de
datos coincide con el europeo, en cuanto a los principios y
obligaciones.
Una herramienta útil para proveedores y clientes
Mientras que los Acuerdos de Nivel de Servicio (por sus siglas en
inglés SLA´s) son usados generalmente para proveer métricas y otro tipo
de información acerca del rendimiento de los servicios, los PLA´s se
usarán para dirigir las prácticas en relación con la privacidad.
El PLA está destinado a proporcionar a los clientes y clientes
potenciales de servicios cloud, una herramienta para evaluar el
compromiso del proveedor en materia de privacidad y protección de datos
personales, capaz de apoyar el proceso de toma de decisión. A los
proveedores les facilita una herramienta para la divulgación
estructurada de sus prácticas en lo que se refiere a privacidad y
protección de datos personales, especialmente cuando existen movimientos
transfronterizos de datos.
Isabelle Falque-Pierrotin, presidenta de la Commission nationale de l'informatique et des libertés
de Francia (CNIL), ha destacado que los PLA´s construirán “un moderno
marco ético y de preservación de la privacidad, adecuado a los retos a
los que se enfrentan todos los stakeholders en el mundo digital”. Por su parte, Billy Hawkes, Irish Data Protection Commissioner,
valoró que “es de esperar que será aceptada por los proveedores, si
quieren ser vistos como proveedores de servicios aceptables, en especial
las organizaciones con base en la UE”.
Por su parte, José Luis Rodríguez Álvarez, director de la Agencia Española de Protección de Datos
(AEPD) considera que los PLA´s “configuran una guía muy completa de los
elementos que deben incluirse en los contratos de computación en nube y
su adopción contribuirá a incrementar la confianza en los proveedores
comprometidos con la protección de datos”.
Acuerdo de Nivel de Privacidad.
Acuerdo de Nivel de Privacidad (Anexo).
Otras iniciativas de CSA-ES
CSA-ES
también ha publicado recientemente otros documentos claves en el mundo
de la seguridad cloud, como la traducción al castellano de las “Guías de Seguridad en Áreas Críticas en Cloud Computing”,
sobre las medidas de seguridad y aspectos a tener en cuenta que pueden
aplicar las organizaciones que desean apoyarse en los servicios que
ofrece la ‘nube’ o que desean migrar sus servicios TIC actuales, a ella;
la versión española del Cloud Controls Matrix (CCM),
que recoge los controles de referencia más importantes en seguridad
cloud, incorporando las especificaciones de la normativa española en
materia de seguridad; y la certificación CCSK en castellano, la primera certificación profesional sobre Seguridad de la Información en Cloud Computing.
No hay comentarios:
Publicar un comentario