Single Blog

Los beneficios del Cloud Computing ya son de sobra conocidos, tener tu información al alcance de tu mano estés donde estés es sin duda la principal ventaja. Al mismo tiempo, el modelo cloud también introduce riesgos de seguridad y privacidad, no solo para las personas, sino también y sobre todo para las empresas. La seguridad y la privacidad en la nube son el resultado de una integración de tecnologías, controles, procesos y políticas.

La seguridad y trazabilidad de los datos en las nubes virtuales se rige por los requisitos de cumplimiento, que garantizan el cumplimiento de las leyes y regulaciones que se aplican al uso de la computación en la nube.

El cumplimiento le permite evaluar la capacidad del proveedor para cumplir con los requisitos de cumplimiento de las leyes, los reglamentos y los estándares de los clientes/empresas. Por lo general, incluye el cumplimiento de las regulaciones de privacidad (por ejemplo, GDPR), la ubicación geográfica de los centros de datos y, en consecuencia, de los datos, cualquier cobertura de seguro en caso de una violación de datos y la voluntad de proporcionar evidencia del cumplimiento de los estándares y regulaciones.

El RGPD es el Reglamento General de Protección de Datos 2016/679 (RGPD) es la principal legislación europea en materia de protección de datos personales.

«Con la normativa europea, pasamos de una visión propietaria de los datos, según la cual no pueden ser tratados sin consentimiento, a una visión de control de los datos, que favorece la libre circulación de los mismos a la vez que refuerza los derechos del interesado, que debe poder saber si se utilizan sus datos y cómo se utilizan para protegerle a él y a toda la comunidad de los riesgos inherentes al tratamiento de datos».

Amazon Web Services, además de garantizar su propio cumplimiento, ofrece propuestas de cumplimiento global a sus socios y se compromete a garantizar servicios y recursos que permitan a los clientes cumplir con los requisitos del RGPD aplicables a sus negocios.

En comparación con nuestra área de referencia, estas son algunas de las conformidades disponibles por AWS:

• CISPE (Cloud Infrastructure Services Providers in Europe) es una unión de líderes en computación en la nube que atiende a millones de clientes en Europa. El Código de Conducta de CISPE permite a los clientes estar seguros de que su proveedor de infraestructura en la nube está utilizando los estándares de protección de datos adecuados para cumplir con el RGPD actual.
• Cyber Essentials define los controles técnicos necesarios. El marco de auditoría muestra cómo funciona el proceso de auditoría independiente para la certificación Cyber Essentials Plus a través de una evaluación externa anual por parte de una entidad acreditada. Debido a la naturaleza regional de la certificación, el alcance de la certificación se limita a las regiones de Europa (Irlanda) y Europa (Londres).
• La norma ISO 9001 describe un enfoque basado en los procesos de documentación y control de la estructura, las responsabilidades y los procedimientos necesarios para lograr un nivel satisfactorio de gestión de la calidad dentro de una organización.
• ISO/IEC 27001 es una norma que especifica las mejores prácticas para la gestión de la seguridad y los controles de seguridad integrales basados en la guía de mejores prácticas de la norma ISO/IEC 27002. La base de esta certificación es el desarrollo y la implementación de un riguroso programa de seguridad, que es un sistema de administración de seguridad de la información que define cómo AWS administra continuamente la seguridad de manera integral y holística.
• PCI DSS se aplica a las entidades que almacenan, procesan o transmiten datos del titular de la tarjeta (CHD) o datos de autenticación confidenciales (SAD), incluidos comerciantes, procesadores de datos, adquirentes, emisores y proveedores de servicios. PCI DSS es obligatorio para los emisores de tarjetas de crédito y es administrado por el Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago.
• Los informes de controles del sistema y de la organización (SOC) son informes analíticos independientes de terceros que documentan cómo AWS ha logrado los objetivos y controles óptimos de conformidad. El propósito de estos informes es ayudar a los clientes y a sus controladores a recopilar información sobre los controles creados por AWS para respaldar las operaciones y la conformidad.

En la Cumbre Digital 2019, el gobierno alemán presentó el proyecto europeo Gaia-x . Gaia-x tiene como objetivo establecer objetivos comunes para una infraestructura de datos a escala europea. Más de 100 empresas europeas y 17 países de investigación ya forman parte de la iniciativa, y se invitará a otros actores europeos e internacionales a participar en el proyecto.

«Se necesita un ecosistema digital abierto para que las empresas y los modelos de negocio europeos puedan competir a escala mundial. Este ecosistema debe permitir tanto la soberanía digital de los usuarios de servicios en la nube como la escalabilidad de los proveedores europeos de servicios en la nube».

Entre los actores internacionales que podrán contribuir al desarrollo de Gaia-x también se encuentra la colaboración de Amazon Web Services (así como otros actores como Microsoft, Google, Aruba). Ciertamente, participar en este proyecto representa un punto de inflexión para AWS, especialmente para la gestión y el control de datos que ya no tendrán que trasladarse al extranjero, sino que podrán gestionarse dentro de la Unión Europea.
Todo esto hace que sea mucho más fácil para los organismos públicos utilizar la nube virtual.

En noviembre de 2011, un selecto grupo de empresas europeas, entre las que se encontraba la asociación EuroCloud EU, redactó un informe sobre la Estrategia Europea de Computación en la Nube. 10 recomendaciones y acciones a tomar entregadas a la Vicepresidenta de la Comisión Europea para la Agenda Digital, Neelie Kroes. En enero de 2012, en el Foro Económico Mundial de Davos, la vicepresidenta Neelie Kroes Kroes fundó la Asociación Europea de la Nube.
La Asociación Europea de la Nube fue liderada por representantes de la industria de TI y telecomunicaciones, así como por responsables políticos del gobierno europeo (el nombre del actual CTO de Amazon, Werner Vogels, también se encuentra entre los muchos miembros).
En febrero de 2014, completó un informe titulado «Trusted Cloud Europe», que esbozó un proceso para la participación efectiva de los sectores público y privado en el desarrollo de la computación en la nube en Europa.
Desafortunadamente, los rastros del PAE se perdieron en 2014, cuando la Comisión Europea invitó a partes externas a participar en un foro de discusión y completar una encuesta en línea en respuesta al informe.

¿Será posible tener un plan europeo esta vez o Gaia-x también caerá en el olvido?