martes, 23 de julio de 2013

Modelo de "Acuerdo de Nivel de Privacidad" para servicios en la nube - Cloud Security Alliance


El capítulo español de Cloud Security Alliance publica un modelo de “Acuerdo de Nivel de Privacidad” para la contratación de servicios en la nube
 
> El capítulo adapta el estándar de Cloud Security Alliance Global al castellano para promover su adopción en el mundo hispanohablante y la armonización internacional.
> Se trata de una herramienta de autorregulación que fomenta la transparencia y responsabilidad en materia de protección de datos.
> El modelo permite la divulgación estructurada de las prácticas de los proveedores de cloud computing, en materia de privacidad y protección de datos personales.
> Es un instrumento capaz de apoyar los procesos de toma de decisión, al permitir a los usuarios evaluar el nivel de compromiso de un proveedor con respecto a la protección de datos.

El capítulo español de Cloud Security Alliance (CSA-ES), iniciativa impulsada por ISMS Forum, ha adaptado al castellano el estándar de “Acuerdo de Nivel de Privacidad”, en su denominación inglesa “Privacy Level Agreement (PLA)”, promovido por la Cloud Security Alliance Global para la contratación de servicios cloud computing. El estándar se usará para describir el nivel de privacidad y protección de datos que un proveedor de servicios de cloud  se compromete a mantener con respecto al tratamiento de los datos de carácter personal.
Esta herramienta de autorregulación se alinea con la normativa europea en materia de protección de datos, en vigor y en ciernes, y con las buenas prácticas y recomendaciones de distintas autoridades de protección de datos (GT art. 29, ICO, CNIL). La versión en castellano del PLA también ha tenido en cuenta la recién publicada “Guía para la contratación de servicios de Cloud” de la Agencia Española de Protección de Datos. Sus objetivos se alinean, también, con la estrategia europea de cloud computing publicada en septiembre de 2012.
CSA-ES e ISMS Forum quieren contribuir a la generación de confianza y transparencia en la prestación de servicios en la nube. Cumplimiento, protección de datos, seguridad y responsabilidad son las piezas claves de este estándar, cuya adopción contribuirá a disminuir las barreras existentes para la implantación generalizada de servicios en la nube por parte de organizaciones españolas. Asimismo podría ayudar a organizaciones establecidas en varios países de Latinoamérica, en los que el enfoque legislativo y regulatorio en materia de protección de datos coincide con el europeo, en cuanto a los principios y obligaciones.
Una herramienta útil para proveedores y clientes
Mientras que los Acuerdos de Nivel de Servicio (por sus siglas en inglés SLA´s) son usados generalmente para proveer métricas y otro tipo de información acerca del rendimiento de los servicios, los PLA´s se usarán para dirigir las prácticas en relación con la privacidad.
El PLA está destinado a proporcionar a los clientes y clientes potenciales de servicios cloud, una herramienta para evaluar el compromiso del proveedor en materia de privacidad y protección de datos personales, capaz de apoyar el proceso de toma de decisión. A los proveedores les facilita una herramienta para la divulgación estructurada de sus prácticas en lo que se refiere a privacidad y protección de datos personales, especialmente cuando existen movimientos transfronterizos de datos.
Isabelle Falque-Pierrotin, presidenta de la Commission nationale de l'informatique et des libertés de Francia (CNIL), ha destacado que los PLA´s construirán “un moderno marco ético y de preservación de la privacidad, adecuado a los retos a los que se enfrentan todos los stakeholders en el mundo digital”. Por su parte, Billy Hawkes, Irish Data Protection Commissioner, valoró que “es de esperar que será aceptada por los proveedores, si quieren ser vistos como proveedores de servicios aceptables, en especial las organizaciones con base en la UE”.
Por su parte, José Luis Rodríguez Álvarez, director de la Agencia Española de Protección de Datos (AEPD) considera que los PLA´s “configuran una guía muy completa de los elementos que deben incluirse en los contratos de  computación en nube y su adopción contribuirá a incrementar la confianza en los proveedores comprometidos con la protección de datos”.

Acuerdo de Nivel de Privacidad.
 
Acuerdo de Nivel de Privacidad (Anexo).
Otras iniciativas de CSA-ES
CSA-ES también ha publicado recientemente otros documentos claves en el mundo de la seguridad cloud, como la traducción al castellano de las “Guías de Seguridad en Áreas Críticas en Cloud Computing”, sobre las medidas de seguridad y aspectos a tener en cuenta que pueden aplicar las organizaciones que desean apoyarse en los servicios que ofrece la ‘nube’ o que desean migrar sus servicios TIC actuales, a ella; la versión española del Cloud Controls Matrix (CCM), que recoge los controles de referencia más importantes en seguridad cloud, incorporando las especificaciones de la normativa española en materia de seguridad; y la certificación CCSK en castellano, la primera certificación profesional sobre Seguridad de la Información en Cloud Computing.