Guía y directrices sobre Cloud Computing. Jesús Rubí Navarrete Adjunto al Director



Documentos relacionados
Jesús Rubí Navarrete Adjunto al Director Agencia Española de Protección de Datos. Agencia Española de Protección de Datos

XI ENCUENTRO IBEROAMERICANO DE PROTECCION DE DATOS 15, 16 Y 17 OCTUBRE 2013 CARTAGENA DE INDIAS, COLOMBIA

EL TRACTAMENT DE LES DADES PERSONALS EN L ÁMBIT DE L ADVOCACIA I LES DADES AL NÚVOL (CLOUD COMPUTING)

Sujetos que intervienen

ORIENTACIONES. para. PRESTADORES de SERVICIOS. Cloud. Computing

GUÍA. Computing. Cloud. clientes que. contraten servicios. para

GUÍA. Computing. Cloud. clientes que. contraten servicios. para

SEMINARIO SOCINFO: COMPARTICIÓN DE RECURSOS Y CLOUD COMPUTING

Privacidad y protección de datos en la prestación de Servicios de Cloud Computing T11: Privacidad en la nube

CLOUD COMPUTING CARTAGENA DE INDIAS OCTUBRE DE 2.013

LOPD BURALTEC. Acreditación del deber de informar al interesado

Seguridad, Información Digital y el problema de los Datos Personales en la Nube.

EXPERTOS EN DESARROLLO WEB

Auditoría y protección de datos en la empresa

FORMACIÓN LOPD. Innova Grandes Cuentas

Leopoldo Simó Ruescas Sbdi Subdirector General ladjunto de If Infraestructuras y Sistemas

Diputación de Albacete. Paseo Libertad, Albacete. Tel Fax Guía

Facilitar el cumplimiento de la LOPD

PROTECCION DE DATOS Y ADMINISTRACIÓN PÚBLICA

Protección de Datos y Adecuación al Esquema Nacional. Puntos de encuentro y diferencias entre las normativas

Conocer y aplicar los procesos prácticos para la implantación y adecuación de la normativa vigente en la LOPD en las empresas.

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

LEY ORGÁNICA DE PROTECCIÓN DE DATOS 3 MÓDULOS. 33 Horas

SÓLO HAY UNA COSA QUE NOS PREOCUPA MÁS QUE TU TRANQUILIDAD, LA DE TUS CLIENTES

La decisión de irse a la nube. requiere tener en cuenta aspectos: Técnicos Económicos Modelo de gestión y JURÍDICOS

AUDITORÍA Y PROTECCIÓN DE DATOS EN LA EMPRESA

A qué huelen las nubes?: seguridad y privacidad del cloud computing

Curso Superior de LOPD Duración: 60 Horas Online, interactivo, 3 meses

AUDITORÍA Y PROTECCIÓN DE DATOS EN LA EMPRESA

AUDITORIA Y PROTECCIÓN DE DATOS EN LA EMPRESA (obra completa-3 volúmenes)

CONSIDERACIONES PARA LA CONTRATACIÓN DE SERVICIOS DE CÓMPUTO EN LA NUBE. Versión: 1.3

ESTATUTO DE AUDITORIA LOPD PARA EL AYUNTAMIENTO DE ZARZADILLA DE PAR

datanorte consulting&couch /LOPD/LSSI PROPUESTA MANTENIMIENTO SOCIOS


Técnico en Implantación y Auditoria de la Ley de Protección de Datos, L.O.P.D. y L.S.I.

Riesgo, seguridad y análisis jurídico para la migración ala nube. APARTADO 4: Protección, derechos y obligaciones legales

I FORO DE HISTORIA CLÍNICA ELECTRÓNICA DEL SNS

Seguridad jurídica en la nube

A qué huelen las nubes?: seguridad y privacidad del cloud computing

SLA (Service Level Agreement)

La Seguridad Jurídica de los Servicios Cloud

TALLER DE PROTECCIÓN DE DATOS: Aplicación práctica de la LOPD para PYMES. Palencia, 14 de febrero de 2008

5.1 REGISTRO DE FICHEROS Análisis de los datos tratados Inscripción de los ficheros... 5

AUDITORIA Y PROTECCION DE DATOS EN LA EMPRESA - OBRA COMPLETA - 3 VOLUMENES

Norma Básica de Auditoría Interna

Real Decreto, 1720/2007, de 21 de diciembre

Tratamiento de datos personales con fines publicitarios

Gestionando la seguridad de la información T14: Esquema Nacional de Seguridad y las Administraciones Públicas (2ª parte)

Cloud Security Alliance. Recomendaciones de Seguridad para Usuarios

Certificación. Contenidos 1. Implantación del SGSI. 2. Auditoría y certificación. 3. La entidad de certificación. 4.

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

Adecuación Práctica de una Empresa a la LOPD

La función del Compliance Officer en la protección de datos personales Citibank España S.A. Teresa Serrano Business Compliance Officer Arturo Cuerda

LA AUDITORÍA DE SEGURIDAD DEL ENS

Instituto Federal de Acceso a la Información y Protección de Datos (IFAI) Protección de datos en la nube

COMO ADAPTARSE A L.O.P.D.

Utilización del Cloud Computing por los despachos de abogados y el derecho a la protección de datos de carácter personal INFORME:

Datos especialmente protegidos. Historia clínica. María José Blanco Antón Secretaria General Agencia Española de Protección de Datos

CLOUD COMPUTING: ASPECTOS LEGALES Y/O NORMATIVOS

Norma de uso Identificación y autentificación Ministerio del Interior N02

Norma ISO Francisco D Angelo Douglas García Claudia Herrera Luis Laviosa

CONSULTORÍA / AUDITORÍA PROTECCIÓN DE DATOS (LOPD)

Servicios de adaptación al marco legal vigente

Información sobre la Ley Orgánica de Protección de Datos (LOPD)

LOPD EN L A E M P R E S A

Utilización del Cloud Computing por los despachos de abogados y el derecho a la protección de datos de carácter personal INFORME:

Ejercicio. profesional. Dirección de Ejecución de Obra

SISTEMA DE PAPELES DE TRABAJO PARA AUDITORÍA SPT AUDIT

PLIEGO DE CONDICIONES TÉCNICAS PARA LA CONTRATACIÓN DEL SISTEMA DE VENTA DE ENTRADAS DE LA RED MUNICIPAL DE TEATROS DE VITORIA-GASTEIZ

CAS- CHILE S.A. DE I.

empresa, con el fin de recabar la informaciónnecesaria para poder identificar los ficheros existentes.

CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD

Cloud Computing. Su aplicación en la Banca Privada Argentina.

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

ESQUEMA NACIONAL DE SEGURIDAD

Agencia Española de Protección de Datos

Fernando Bermejo Product Manager IaaS Cloud

Curso de Consultor LOPD

Ley de medidas para mejorar el funcionamiento de la cadena alimentaria

XII ENCUENTRO IBEROAMERICANO DE PROTECCIÓN DE DATOS. 12,13 y 14 de noviembre de 2014 Ciudad de México, México

6 - Aspectos Organizativos para la Seguridad

AUDITORÍAS EN SISTEMA DE GESTIÓN Y TRATAMIENTO DE HALLAZGOS. Especialistas en Sistema de Gestión

Experto en auditoría PROGRAMA FORMATIVO. Código: COME027. Duración: 200 Horas. Objetivos: Contenidos: Auditoría de la lopd

Las funciones del responsable de Seguridad

Guía rápida de la Protección de Datos Personales en España

METODOLOGIAS DE AUDITORIA INFORMATICA

ISO-LOPD - Integración LOPD en Sistemas de Gestión

Estándares y Normas de Seguridad

La certificación de los materiales se realizará a la entrega de los mismos o, en caso de ser materiales con montaje, con su puesta en marcha.

Sistema de Gestión de Prevención de Riesgos Laborales. Auditorías de Prevención

C/ ACEBO 33 POZUELO DE ALARCON MADRID TELEFONO (91) Curso

CONVENIO COLABORACIÓN PROTECCIÓN DE DATOS - LOPD. Ilustre Colegio de Procuradores de Ourense

Una Inversión en Protección de Activos

LEGÁLITAS MULTIRRIESGO INTERNET PYMES Y AUTÓNOMOS

Legal & Lead. Cómo generar leads y cumplir con la ley

LOPD EN LAS EMPRESAS: Oferta de implantación y mantenimiento

ESQUEMA NACIONAL DE SEGURIDAD ENS. Estado de situación y retos próximos

Sistema Gestión Licitación para la compra del desarrollo y migración del Sistema de Gestión de Activos y Configuraciones para Plan Ceibal

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS

Transcripción:

Guía y directrices sobre Cloud Computing Jesús Rubí Navarrete Adjunto al Director

Guía sobre Cloud Computing Introducción sobre cloud computing Tipos de cloud computing (neutralidad) Nube pública, nube privada, otros modelos Modalidades de servicios Software como servicio, infraestructura como servicio, plataforma como servicio 2

Aspectos destacados Portabilidad (facilidad para transferir datos y aplicaciones de un proveedor a otro) Soluciones abiertas o cerradas Causas: Finalización por cliente Finalización por prestador (cambio de política comercial o del marco regulatorio) Localización Subcontratación Localización de los recursos para la prestación del servicio (TID) 3

Aspectos destacados Transparencia Oferta de información sobre dónde, cuándo y quién procesa datos RIESGOS Falta de transparencia Falta de control GARANTÍAS CONTRACTUALES (Responsable-Encargado) 4

Aspectos destacados ESTRATEGIA PARA EL CLIENTE Evaluar los tratamientos y la sensibilidad de los datos Análisis de los tratamientos a transferir a la nube Verificación de las condiciones de prestación del servicio (aspectos tecnológicos, económicos y legales) Lista de control (12 preguntas) 5

Lo que debo conocer para la contratación de Cloud Computing Antes de contratar: Evaluar la tipología de datos y los niveles de seguridad Información sobre los tipos de nube y de servicios (incidencia en la protección de datos personales) Seleccionar los servicios y el prestador Responsabilidad del cliente El cliente es responsable del tratamiento El prestador de servicios es encargado del tratamiento La responsabilidad no se desplaza contractualmente 6

Lo que debo conocer para la contratación de Cloud Computing Legislación aplicable Ley aplicable al responsable (LOPD) No se modifica contractualmente La fragmentación y encriptación no excluyen la aplicación de la ley (Dictamen 05/2012 WP 196- sobre computación en nube. Nota a pie de página nº 27) Obligaciones en subcontratación (modulación) Obtener información sobre subcontratistas Dar su conformidad (al menos delimitando genéricamente los servicios) Poder conocer a los subcontratistas (p.ej. Acceso a web) Garantías contractuales entre el prestador y los subcontratistas 7

Lo que debo conocer para la contratación de Cloud Computing Localización de los datos UE/EEE. Cesiones de datos Terceros países: TID Garantías para TID Nivel adecuado de protección (enlace a países) Acuerdo de Puerto Seguro con empresas EE. UU. (para prestación de servicios, garantías contractuales) Otras garantías contractuales (información adicional) Diligencia para conocer si hay TID's y con qué garantías (requerimientos de información por autoridades de terceros países) 8

Lo que debo conocer para la contratación de Cloud Computing Medidas de seguridad (modulación) Conocer los niveles de seguridad exigibles (información adicional) Certificación de seguridad adecuada Auditoria por tercero independiente y confiable Diligencia para informarse sobre las medidas de seguridad que se ofrecen y sobre su cumplimiento Conocer los incidentes de seguridad sobre los datos de los que es responsable 9

Lo que debo conocer para la contratación de Cloud Computing Garantías de confidencialidad Tratamiento de datos solo para la prestación del servicio Compromiso de confidencialidad del personal del prestador Garantías de portabilidad Devolución a sus propios sistemas o migración a un nuevo proveedor Formato que permita su utilización en plazo breve y garantizando la integridad 10

Lo que debo conocer para la contratación de Cloud Computing Garantías sobre el borrado de los datos (certificación de destrucción) Garantías para el ejercicio de derechos ARCO Información y cooperación de prestador de servicios 11

El Cloud Computing en las Administraciones Públicas Garantías contractuales en la contratación y subcontratación (RD Legislativo 3/2011) Solicitudes de acceso a la información por autoridades de terceros países Esquema nacional de seguridad (RD 3/2010) Análisis y gestión de riesgos (Análisis de amenazas, controles y salvaguardas) Profesionalidad (seguridad atendida, revisada y auditada por personal cualificado) 12

El Cloud Computing en las Administraciones Públicas Protección información almacenada y en tránsito (técnicas robustas de cifrado y copias de respaldo) Incidencias de seguridad y continuidad de la actividad Auditorías de seguridad ordinarias y extraordinarias (art. 34 ENS) 13

El Cloud Computing en las Administraciones Públicas Esquema Nacional de Interoperabilidad (RD 4/2010) Portabilidad de datos entre servicios y ejercicio de derechos de los ciudadanos mediante formatos estandarizados Estándares abiertos Neutralidad evitando discriminación por razones de la elección tecnológica Remisión a las preguntas Responsable del contrato (Art. 52 RDL 3/2011) Recomendable en función de la complejidad de los servicios 14

Orientaciones para prestadores de servicios Desequilibrio entre las partes Posición jurídica de las partes Responsable Encargado Ley aplicable (LOPD) Diligencia Transparencia Atender solicitudes de información del cliente (remisión a preguntas de la guía) Ofrecer información de oficio Valoración por AEPD 15

Orientaciones para prestadores de servicios Garantías exigibles a los partners Modulación de las garantías tradicionales Portabilidad TID Ejercicio de derechos ARCO Administraciones Públicas ORIENTACIONES A TENER EN CUENTA Revisar sus contratos Adaptarlos, en su caso, informando a sus clientes Ser conscientes de que pueden ser responsables por incumplimiento 16

www.agpd.es 5ª sesión anual abierta de la Agencia Española de Protección de Datos 17

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback