Go to Top

Una nueva ISO para Servicios de Cómputo en la Nube.

Finalmente uno de los grandes temas para los Prestadores de Servicios de Internet (En adelante ISPs por sus siglas en inglés “Internet Service Providers”) se está viendo resuelto, pues ya cuentan con su estándar de seguridad de la información global para la industria. Me explico: el pasado julio de 2014, la Organización Internacional para la Estandarización (ISO por sus siglas en inglés “International Organization for Standardization” y la Comisión Electrónica Internacional (IEC por sus siglas en inglés “International Electrotechnical Commission”) adoptaron formalmente la ISO/IEC 27018, la primera norma internacional que busca estandarizar los procesos de tratamiento de información personal por prestadores de servicios de cómputo en la nube.

Ésta norma es voluntaria y provee las mejores prácticas estandarizadas para ésta área de servicios en la cual existe mucha preocupación en cuanto a la seguridad y la integridad de la información en la nube, tanto para los responsables de la información o dueños de los negocios, como para los titulares de los datos personales. Existen ya otras normas oficiales como la ISO 27001 y la ISO 27002 que tratan sobre seguridad de la información en general, pero ésta norma ISO/IEC 27018 es la primera que se enfoca específicamente en la seguridad de la información en la nube.

Las empresas certificadas bajo ésta norma, podrán demostrar entre otras cosas que: (i) Sus herramientas permiten a los clientes cumplir con el ejercicio de derechos de acceso, rectificación y destrucción de su información; (ii) Procesos para acreditar que el prestador de servicios en la nube, tratará la información personal en estricto cumplimiento a las instrucciones del cliente; (iii) Procesos para acreditar la autorización del uso de la información para efectos mercadológicos o comerciales; (iv) Procesos para limitar la divulgación de información personal mediante requerimiento de alguna autoridad cuando éste obligado para esto; (v) Que cuenta con una política por medio de la cual se podrá dar información al cliente relativa a cualquier subcontratista de servicios y el posible lugar en el que se encuentre ubicado; (vi) Procesos para dar servicio a sus clientes para cumplir con la obligación de notificar a los titulares de los datos en caso de una vulneración o ataque cibernético; (vii) Que cuenta con una política para la devolución, transferencia y seguridad de las bases de datos, así como los períodos de tiempo que la información podrá ser retenida; (viii) Auditorías de seguridad regulares por parte de terceros debidamente acreditados por ISO/IEC para el mantenimiento de la norma; y (ix) Procesos para asegurar que el personal cuenta con los debidos convenios de confidencialidad y han sido debidamente entrenados.

La certificación ISO/IEC 27018 pretende dar a los consumidores de servicios de cómputo en la nube seguridad respecto a las buenas prácticas y obligaciones contractuales con los ISPs, lo cual estamos seguros, será muy interesante para sectores como el de seguros o financiero. Falta verificar si con ésta Norma, se cumple con el extenso artículo 52 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, primer artículo en la legislación mexicana que habla sobre servicios de cómputo en la nube.

, , , , , ,

Deja un comentario