La Protección de Datos, la norma ISO 27001 y el Código de Conducta CISPE
ISO 27001
El Reglamento General de Protección de Datos es cada vez más severo. Las organizaciones que manejan datos personales deben adaptar sus operaciones a los nuevos requisitos para evitar problema con los clientes y las autoridades, pueden hacerlo con la norma ISO 27001.
En lo que respecta a los servicios de infraestructura de la nube, el esfuerzo puede ayudar a los proveedores y a los clientes. En este artículo queremos generar una visión amplia del Código CISPE de Conducta, la forma en que puede ayudar a asegurar el procesamiento de datos personales que se realiza según el Reglamento General de Protección de Datos.
¿Cuál es CISPE?
Los proveedores de servicios de infraestructura en la nube (CISPE) es una coalición de más de 20 organizaciones de tecnología que se centran en la provisión de servicios de infraestructura en cuanto al servicio en la nube. Su trabajo se centra en:
- Adopción de servicios en la nube como la primera opción para la contratación pública.
- Utilizar de forma coherente todos los requisitos de seguridad y las normas técnicas.
- Apoyar a los requisitos de privacidad de los clientes mediante el código de conducta.
- El mantenimiento de un mercado saludable.
- El mantenimiento de un nivel razonable de las obligaciones en cuanto a la supervisión de los contenidos en el marco jurídico.
El Código de Conducta CISPE
El Código de Conducta CISPE, en la actualidad es un proyecto que se publicó el 26 de septiembre de 2016. Tiene el objetivo de guiar a los clientes para que evalúen si los proveedores de los servicios en la nube que actúan como procesadores de datos son adecuados para tus necesidades en materia de tratamiento de datos personales, en virtud de los requisitos del Reglamento General de Protección de Datos. Se encuentra estructurado en siete secciones y dos anexos:
- Estructura del código de
- Propósito
- Alcance
- Adherencia
- requisitos de procesamiento de datos
- Los requisitos de transparencia
- Gobernación
En términos de alcance, los aspectos notables del código son la aplicabilidad del servicio proporcionado, y el servicio debe prestarse en su totalidad dentro del Espacio Económico Europeo. La información sobre la adherencia se presentará más adelante en este artículo.
Los requisitos de protección de datos cubren todas las responsabilidades del CISP mediante la definición de los requisitos contractuales y legales, condiciones operativas y de seguridad, manejo de petición de datos y demostración de cumplimiento.
Los requisitos de transparencia ocupan los métodos de CISP que deben considerar la posibilidad de proporcionar a sus clientes información sobre los controles de seguridad que han sido implementados, al igual que los acuerdos de servicio, objetivos de seguridad y normas aplicables. La gestión de riesgos y los procesos de garantía también son importantes.
Los requisitos de gobierno establecen que las condiciones del código deben actualizarse y mejorarse de forma continua, mediante la definición de la estructura de gobierno. Las condiciones de adherencia, la utilización de marcas de cumplimiento, el manejo de quejas y las prácticas de aplicación de códigos y directrices del proceso de revisión.
¿Cómo puede el Código de Conducta CISPE ayudar a los proveedores y sus clientes?
En la infraestructura pueden darse las siguientes situaciones:
- Sólo proporciona el hardware virtualizado y la infraestructura de computación.
- Los clientes tienen la flexibilidad de elegir cómo utilizar la infraestructura.
- Salvo que se indique por los clientes, no se puede saber si su infraestructura está siendo utilizada para procesar los datos personales.
- La forma más eficiente para proporcionar la infraestructura es mediante la definición de los niveles de servicio comunes, en lugar de la adaptación de ellos teniendo en cuenta los casos individuales de los clientes.
Las situaciones 3 y 4 representan un negocio de riesgo. Sin saber que los clientes manejan los datos personales, un proveedor puede incurrir, en sobredimensionar sus controles de seguridad, el aumento de los costos operativos o el tamaño insuficiente. Utilizar los datos de los clientes en situación al riesgo y se convierta en responsable en caso de un incidente.
Teniendo en cuenta este escenario, el código de conducta puede ayudar con la definición de:
- Las responsabilidades específicas para los clientes en materia de protección de datos personales.
- Requisitos para garantizar y establecer la seguridad de la información adecuada y las prácticas de transparencia en materia de protección de datos y la relación de los clientes.
- Un marco por el cual lo clientes pueden verificar si se cumple con los requisitos establecidos en la ley de protección de datos.
Sin embargo, es importante tener en cuenta que en ningún momento se debe utilizar este código como un sustituto de los contratos u otras leyes aplicables. Sólo cómo un material de apoyo durante la evaluación.
Alineación del Código de Conducta CISPE con la serie ISO 27001
Estos son los temas que se consideran interesante cuando se compara el código con la norma ISO 27001:
- La adopción del código, al igual que en la norma ISO 27001, es voluntaria y se puede aplicar para uno o varios servicios según los objetivos.
- Código de conducta, se requiere el establecimiento de una estructura de gobierno destinada a apoyar la aplicación, gestión y evolución del código, similar a la norma ISO 27001.
- En cuanto a las prácticas de seguridad, se puede hacer uso de la norma ISO 27001.
- Demostrar el cumplimiento se puede hacer bien el certificado, por auditores independiente de terceros o mediante la declaración de conformidad. La norma ISO 27001, también existe una autodeclaración, pero la mayoría de los clientes buscan a las empresas que se encuentran certificadas.
Si se ha implementado un sistema de gestión ISO, es específicamente la norma ISO 27001 y sus normas serán mucho más fácil cumplir con el código.
Software ISO 27001
El Software ISOTools Excellence para ISO 27001 para Riesgos y Seguridad de la Información, está capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización.