En el momento actual, en un entorno cada vez más conectado y cada vez más expuesto, en el que las empresas exigen un nivel de seguridad cada vez mayor, los proveedores de servicios cloud debemos tener en cuenta muchos factores y responsabilidades.
Debemos tener en cuenta factores no solo a nivel de servicio sino también a nivel normativo.
Todos estos factores podrían hacer peligrar la calidad de nuestro servicio, así como la seguridad del mismo, y siempre debemos tener en mente que una falla de seguridad podría conllevar, no sólo una pérdida económica e incluso sanciones económicas, sino un impacto en nuestra imagen de empresa que por consiguiente podría derivar en la pérdida de confianza de nuestros clientes.
Hoy en día, el activo más importante de las empresas son los datos, por eso debemos garantizar que nuestro modelo de negocio facilita la gestión y protección de estos activos, y acogernos a un marco normativo y a unos estándares de calidad permite dar cumplimiento a muchas de estas necesidades. Además, contar con el respaldo de una entidad que asegure, de alguna manera, que cumplimos e incluso superamos en cierto grado, las exigencias establecidas por la normativa es una ventaja competitiva y un aval de cara a la pequeña empresa de IT y sus clientes.
En respuesta a esta problemática ha surgido una organización a nivel europeo que pretende garantizar que los proveedores cloud cumplen con una serie de mejores prácticas en la provisión de sus servicios.
¿Qué es CISPE?
CISPE es la Coalición Europea de Proveedores de Servicios de Infraestructura en la Nube (Cloud Infraestructure Service Providers Europe), una coalición creada para proporcionar a los proveedores de servicios cloud europeos un código de conducta para la protección de datos (entre otras cosas), y así asegurar el cumplimiento a la normativa vigente: El Reglamento General de Protección de Datos (RGPD).
Esta coalición, cuenta con diversos órganos, entre los cuales hay un comité encargado de velar por el cumplimiento de los estándares definidos por dicha entidad y atender quejas y reclamaciones relativas al incumplimiento de las obligaciones de los socios adscritos a esta coalición.
La pertenencia a CISPE, proporciona cierto respaldo ya que toda empresa asociada debe cumplir con los requisitos establecidos por CISPE en materia de protección de datos de carácter personal (RGPD).
Entre otras cosas, esta pertenencia, garantiza que los clientes que quieran contratar sus servicios van a tener la certeza de que los datos almacenados o tratados por el proveedor no van a ser accedidos ni revendidos a terceras empresas y que los repositorios de datos estarán siempre y exclusivamente en el Espacio protegido de la Unión Europea y bajo las regulaciones vigentes de la UE. Pertenecer a CISPE obliga a cumplir con este y otros puntos.
CISPE describió un código de conducta para la protección de datos del RGPD que, si bien fue lanzado antes de la entrada en vigor de la versión final de la GRPD (25 de mayo de 2018), se adapta perfectamente a los estrictos requisitos de la normativa de protección de datos europea, ya que trabajaron con el borrador y la versión final antes de hacerse obligatoria.
Principales pilares de CISPE
El principal objetivo de CISPE, aunque no el único, es el de ayudar a los proveedores de infraestructura en la nube a cumplir con la normativa vigente en protección de datos en Europa con el fin de mantener seguros los datos. Para ello, se utilizan una serie de recomendaciones (código de conducta) que el proveedor cloud debe cumplir, siendo éste auditado por un comité de dicha entidad.
Dentro de el marco en el que trabaja CISPE, existen varios pilares fundamentales de los que se desprende la siguiente:
- La creación de un marco que permita una gestión útil y funcional de la RGPD en la Unión Europea.
- No permitir la migración de datos fuera de la Unión Europea.
- Prohibir la reutilización de los datos.
- Proteger a los ciudadanos y ayudarlos a mantener el control de sus datos confidenciales y personales.
- Promover que los proveedores cloud adopten criterios de sostenibilidad y minimización del impacto en el medio ambiente.
- Evitar los monopolios y fomentar la diversidad y por tanto la libertad de elección por parte de los clientes de los servicios cloud.
¿Por qué es importante CISPE?
La respuesta a esta pregunta es en realidad bastante sencilla, porque permite identificar de manera rápida los Proveedores de Servicios de Infraestructura en la Nube que cumplen con unas garantías de protección de datos, ya que asegura que sus integrantes son proveedores de servicios cloud comprometidos con la seguridad de los datos y su tratamiento. Además, a todo esto, hay que sumar el cumplimiento de otros estándares medioambientales y la lucha frente a la competencia desleal en Europa.
Ventajas para los clientes de un proveedor cloud que cumple con CISPE.
Contratar un Proveedores de Servicios de Infraestructura en la Nube que pertenece a CISPE debería aportar la tranquilidad de saber que cumple con la regulación vigente europea de protección de datos (publicada el 5 de marzo de 2016 y con entrada en vigor el 25 de mayo de 2018), indicando que es un proveedor de confianza que además, no solo cumple con la normativa, sino que está homologado por una organización que vela por el cumplimiento de la misma más allá de lo establecido por la Unión Europea.
Como ya sabemos, desde que se lanzó en 2018 la RGPD, todas las empresas europeas deben cumplir con la misma, y en caso de no cumplirla o de cometer infracciones, pueden ser sometidas a sanciones económicas significativas que podrían llegar a suponer la quiebra económica de la empresa. Contar con un proveedor cloud que está completamente cubierto en este sentido, hace que nuestra empresa tenga cierta cobertura y garantías en estos términos.
¿Cumplo con la RGPD si mi proveedor cloud pertenece a CISPE?
Para que podamos cumplir con las exigencias de la GRPD, debemos tener cubiertos todos los aspectos de la misma en todos los procesos y entornos de nuestra operativa, y esto lógicamente incluye nuestros sistemas informáticos, sean estos on-premise u cloud.
Que nuestro proveedor de servicios de infraestructura de la nube cumpla con la normativa de protección de datos europea, es por tanto obligatorio para nosotros, y de hecho puede ser una ventaja, ya que si pensamos en el modelo de gestión de riesgos (ISO 31000), siempre que tratemos riesgos tenemos distintos modos de enfrentarnos a los mismos:
- Aceptación.
- Mitigación.
- Transferencia.
- Explotación.
- Supresión.
Y en este caso, si contratamos un proveedor de servicios cloud que cumple con la RGPD, lo que estaremos haciendo es transferir el riesgo, ayudándonos de esta manera a cumplir con la RGPD.
Aunque, ¡ojo! Tener contratado un proveedor de servicios que pertenezca al CISPE y por tanto cumpla con la RGPD, no nos eximirá de muchas de las gestiones asociadas a la protección de datos.
¿Cumplo con la ISO/IEC 27001 si mi proveedor cloud pertence a CISPE?
La ISO 27001 es la norma internacional para la seguridad de la información, y la ISO/IEC 27001 es la adaptación española que promueve UNE y describe los requisitos y buenas practicas que se deben aplicar y cumplir para aplicar un sistema de gestión de seguridad de la información (SGSI). Aquellas empresas que cumplen con esta ISO, tienen una gran ventaja competitiva ya que los clientes valoran cada vez más que las empresas tengan este sello.
En relación con esto, diversas autoridades supervisoras europeas y consultoras de protección de datos, han reconocido el cumplimiento normativo de la ISO 27001 como elemento determinante para demostrar el interés, inversión y esfuerzo de las empresas certificadas en su intento de cumplir con la normativa referente a la protección de datos.
Así mismo, esta relación, es en parte bidireccional, porque el cumplimiento de RGPD ayuda en el camino de la certificación de la ISO 27001, en parte por los procedimientos descritos para la protección de los datos, el establecimiento de roles, por los mecanismos establecidos para tratar vulneraciones y en parte por tener establecido un proceso de tratamiento de información.
Además, el caso descrito en la RGPD en lo relativo a la gestión de riesgos, también aplica a la ISO/IEC 27001; contar con un proveedor de servicios en la nube que cuenta con una metodología de gestión de seguridad y tratamiento de incidentes permite hacer una cesión o transferencia del riesgo.
Por todo lo comentado anteriormente, está claro, que contar con un proveedor de infraestructura de nube avalado por CISPE permite cumplir con dicha ISO.
Conclusiones:
La situación actual de las empresas que trabajan con activos de información es bastante delicada, porque se exponen a múltiples amenazas que es difícil de salvar. Además, esas amenazas pueden desenlazar en sanciones económicas y perdidas de imagen de marca.
La contratación de los servicios de un Proveedores de Servicios de Infraestructura en la Nube miembro de CISPE, nos permite tener la certeza de que los datos personales de nuestras organizaciones y clientes están siendo tratados de la mejor manera posible.
Así mismo, nos permiten alinearnos con varias certificaciones, normativas y estándares de gran prestigio como son la RGPD y la ISO 27001.
Otras lecturas recomendadas:
Tras este artículo, creemos que puede ser interesante que completes la información proporcionada con lecturas adicionales, por eso te dejamos estos enlaces a sitios web de entidades reguladoras, normativas, etc.
Esperamos que te resulten útiles:
- El Comité Europeo de Protección de Datos (CEPD).
- Código de conducta protección de datos para los Proveedores de Servicios de Infraestructura en la Nube.
- Compra de servicios en la nube en el sector público: (Español).
- Buying Cloud Services in Public Sector: (Ingles).
- Agencia Española de Protección de Datos.
- Entradas BOE sobre RGPD.