El pasado 1 de julio se publicaba la opinión 05/2012 del grupo de trabajo del artículo 29 relativo a la informática en la nube (pdf). Nos ha parecido interesante analizarla en detalle desde nuestra perspectiva de agencia de calificacion dada la importancia de estas opiniones y la relevancia de sus conclusiones, sobre todo, el respaldo indudable que supone para servicios de confianza de terceros, como es la calificación de seguridad que ofrecemos desde leet security
Hemos dividido en cinco el contenido del documento de opinión:
1. Riesgos de protección de datos
Se consideran dos tipos de riesgos principalmente: la falta de control sobre los datos personales y la insuficiente información sobre el procesamiento de los datos.
Aportación de la calificación: Como ya hemos comentado anteriormente, al tratarse, básicamente de un mecanismo de transparencia, la calificación ayuda con el segundo de los riesgos identificados, aportando información al cliente (data controller) sobre la seguridad implantada en los procesos del proveedor (data processor).
2. 'Drivers' claves
El documento identifica tres drivers principales: Seguridad, Transparencia y Certeza legal.
Aportación de la calificación: La utilización de un sistema de calificación como el propuesto por leet security contribuye a la explotación de las ventajas en materia de seguridad y transparencia que supone la informática en la nube.
3. Requisitos de protección de datos
Los requisitos se clasifican en tres tipos:
Aportación de la calificación: Como podéis ver en el mapa mental previo, la calificación permite adaptarse a los requisitos relativos a medidas técnicas y organizativas y a muchas de las salvaguardas contractuales. Concretamente, el uso de la calificación permite:
4. Obligaciones y responsabilidades
Como es lógico, el documento incluye obligaciones y responsabilidades tanto para el cliente como para el proveedor.
Aportación de la calificación: Según recoge el documento, el cliente debe elegir un proveedor que garantice el cumplimiento con la legislación en materia de protección de datos. En este sentido, el sistema que hemos diseñado incluye, como ya se ha mencionado, las medidas necesarias para realizar tratamientos de distintos niveles y los requisitos exigidos por la legislación vigente. De esta manera, si en la dimensión de confidencialidad, tenemos una calificación:
5. Conclusiones
Las conclusiones proporcionadas por el documento se podrían agrupar de la siguiente manera:
Aportación de la calificación: En relación a la conclusión general, como ya hemos comentado en otras ocasiones, la calificación permite a los potenciales usuarios de servicios en la nube elegir entre los que tienen unas medidas adecuadas al nivel de riesgo de su proceso de negocio. De esta forma, simplifica ese proceso previo y, por ende, la contratación de servicios en la nube.
En cuanto a las directrices para clientes y proveedores, el uso de la calificación permite adherirse a la práctica totalidad de recomendaciones realizadas por el grupo de trabajo (ver las marcadas en verde en el mapa mental previo) y que se corresponden, fundamentalmente, con las mencionadas en el apartado 3 previo (Requisitos de protección de datos).
Para finalizar, el aspecto más relevante para nosotros, como es lógico, es el relacionado con las certificaciones de protección de datos por terceros. El documento reconoce que:
Por todo esto, consideramos que el documento supone un apoyo indudable para el servicio de calificación de seguridad que reúne todas las características mencionadas anteriormente: