Embed Size (px)
DESCRIPTION
El Cloud Computing es un nuevo sistema de almacenamiento de la información cada vez más utilizado por empresas y profesionales, ya que no es necesario realizar inversiones en infraestructuras (servidores), si no que se utilizada la que pone a su disposición el prestador del servicio. Los problemas y riesgos en cuanto al uso de este sistema de almacenamiento surgen en el momento en que el prestador del servicio puede estar en cualquier lugar del mundo y en consecuencia el cliente desconoce la ubicación precisa de sus datos, no dispone del control de acceso a los mismos, actualización, borrado, etc… Los clientes deben conocer que aunque la información no esté físicamente en su poder, si la misma contiene datos de carácter personal, sigue siendo el responsable de cumplir con lo dispuesto en la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal.
Citation preview
Café AGM
“CLOUD COMPUTING Y PROTECCIÓN DE
DATOS”
Araceli Beltrán
Ana García
Josep Díaz 24/10/2013
www.agmabogados.com 1
#cafeagm
www.agmabogados.com 2
#cafeagm
Rápido: ¿Qué es el Cloud?
www.agmabogados.com 4
HARDWAREHARDWARE
Virtualización
#cafeagm
www.agmabogados.com 3
#cafeagm
¿Porqué está de moda el Cloud?
Reducir costes de inversiónReducir costes de personal informáticoReducir costes de mantenimientoAceleración en implementación de servicios y aplicaciones
www.agmabogados.com 4
#cafeagm
Tipos de Cloud
Cloud privadoCloud públicoCloud híbrido
www.agmabogados.com
Servicios comunes
5
Correo electrónicoGestión documentalIntranetCRMServicios de publicación web
www.agmabogados.com
Seguridad de la información
6
Acceso seguro a la informaciónReplicación y alta disponibilidadSistemas de backup
www.agmabogados.com
Servicios aplicables
7
Auditoría periódica de seguridadServicios de monitorizaciónAsistencia técnica a distancia
www.agmabogados.com 2
No es una cesión de datos:
El cliente que contrata el servicio sigue siendo responsable de la información.El prestador del servicio de Cloud Computing es el encargado del tratamiento.
La contratación del servicio se realiza a través de un contrato de prestación de servicios (art. 12 LOPD).
El contrato DEBE incluir las garantías que obliga la LOPD y el Reglamento.
Garantías contractuales
#cafeagm
www.agmabogados.com 2
Contrato de adhesión:Los más utilizados. Para pequeñas empresas. No exime de responsabilidad al responsable de los ficheros.
Contrato negociado en función a los datos que se van a tratar: Condiciones de uso (finalidad, principio de Calidad) y acceso a los datos.Medidas de seguridad exigibles. Posibilidades de subcontratación. Localización de los datos. Portabilidad y cancelación de los datos. Supervisión.
Garantías contractuales
#cafeagm
Falta de transparencia: Es importante conocer QUÉ, QUIÉN, CÓMO y DÓNDE se lleva a cabo el tratamiento de los datos que proporcionamos al prestador del servicio de Nube (encargado del tratamiento art. 3.g) de la LOPD y art. 5.1.i) del RLOPD). Para valorar los riesgos y establecer los controles adecuados.El prestador del servicio nos debe informar puntualmente de:
Dónde están ubicados los datos.Si existen subcontratistas. Medidas de seguridad aplicables. Sistemas de control de accesos.
Falta de control: Las dificultades para conocer dónde están los datos, para acceder a los mismos y/o para obtenerlos en un formato válido para traspasarlos a otro servidor > dificulta el acceso a los datos por parte del responsable del fichero y no le permite adoptar las medidas necesarias para salvaguardarlos.
Riesgos del Cloud Computing
#cafeagm
www.agmabogados.com 2
Evaluar los tratamientos y el nivel de protección de los datos: Evaluar qué tipo de datos podemos transferir a la nube. Evaluar los beneficios/riesgos. En la nube se puede almacenar cualquier dato, pero el responsable debe decidir cuáles transferir.
Verificar las condiciones en las que se presta el servicio:Si ofrecen un adecuado cumplimiento de las normas de la LOPD.Ubicación del tratamiento. Existencia de subencargados. Políticas de Seguridad. Derechos del usuario. Obligaciones legales del prestador del servicio. Procedimientos de salida. Procedimientos de retorno de datos. Asegurar la portabilidad de los datos. Comparar las características ofrecidas por varios proveedores:
A nivel de precios. A nivel de garantías.
Consideraciones a tener en cuenta a la hora de contratar servicios en nube
#cafeagm
3
Legislación aplicable: Los datos y el encargado del tratamiento pueden estar en cualquier lugar del mundo. El cliente sigue siendo el responsable de los ficheros > se aplica la legislación española. (arts. 5.1.q) y 20.2. del RLOPD y art. 3.d) de la LOPD).La legislación no se puede modificar contractualmente. Se ha de suscribir siempre un contrato (Decisión 2000/520/CE) con los requisitos establecidos por la LOPD art. 12 de la LOPD).
¿Cuáles son mis obligaciones como cliente?Sigue siendo el responsable del fichero > todas las obligaciones de la LOPD. Conocer a todas las personas (empresas) que intervienen en el servicio. Los deben intervinientes ofrecen garantías suficientes para el tratamiento de los datos.
#cafeagm
www.agmabogados.com 4
Consideraciones a tener en cuenta a la hora de contratar servicios en nube
Importancia de la ubicación de los datos personales: Las garantías deben ser como mínimo las exigidas por la LOPD. Los países de la UE (garantías)> NO es TRANSFERENCIA DE DATOS (art. 5.1.s del RLOPD).Los países fuera de la UE > Registro General de la AEPD + empresas de EEUU adheridas al Convenio “Safe Harbour”) > SÍ se considera TRANSFERENCIA DE DATOS.Si no están en ninguno de los supuestos anteriores > solicitar autorización a la AEPD. (procedimiento previsto en arts. 137 a 140 del RLOPD).
¿Qué medidas de seguridad son exigibles?: Evitar accesos no autorizados. Recuperar la información en caso de incidencias de seguridad. Medidas específicas establecidas en la LOPD para los diferentes niveles de seguridad. #cafeagm
www.agmabogados.com 5
Consideraciones a tener en cuenta a la hora de contratar servicios en nube
¿Cómo asegurarnos de que se cumplen las medidas de seguridad?
El proveedor de servicio debe permitir verificar las medidas de seguridad.
Solicitar certificados de seguridad adecuados. Auditorías de seguridad. El proveedor de servicio debe informar sobre las medidas de seguridad
según el nivel de protección de los datos (art. 79 y ss del RLOPD). Solicitar información sobre el cifrado de los datos.
¿Qué compromiso de confidencialidad debo exigir?El proveedor debe comprometerse a garantizar la confidencialidad de
los datos. Informar al cliente en caso de subcontratación de servicios. Informar al cliente en caso de solicitud de información por parte de
autoridades del país. El proveedor debe informar a su personal sobre la obligación de
confidencialidad. #cafeagm
www.agmabogados.com 6
Consideraciones a tener en cuenta a la hora de contratar servicios en nube
¿Cómo garantizar la recuperación de los datos? (portabilidad): El proveedor ha de obligarse a entregar toda la información al cliente en la forma que se acuerde.El cliente debe poder almacenar la información en sus sistemas o en otra nube. El plazo de recuperación de la información. Integridad de la información. Sin costes adicionales. Posibilidad de exigir la recuperación de los datos cuando:
Los datos se trasladen a países que no ofrezcan las suficientes garantías. Intervenga algún subcontratista que no ofrezca las suficientes garantías.
¿Cómo asegurarse de que se borran los datos?Exigir una certificación del borrado. El proveedor debe garantizar el borrado seguro de los datos:
Cuando lo solicite el cliente (derechos de Cancelación).Cuando finalice el contrato.
Garantizar el ejercicio de los derechos ARCO.
#cafeagm
7
Consideraciones a tener en cuenta a la hora de contratar servicios en nube
¿Preguntas?
Gracias por su atención
Araceli Beltrán [email protected] 93.487.11.26
Ana García [email protected] 93.487.11.26
Josep Díaz [email protected] 902.50.00.16
www.agmabogados.com www.serviciohelpdesk.com
![AGM Presentation [AGM/EGM]](https://img.pdfslide.net/doc/110x75/577cb1411a28aba7118b9646/agm-presentation-agmegm.jpg)
