Noticias » Productos ERP: ERP » TODOS

Todo lo que el proveedor Cloud de hacer para cumplir con la RGPD

La nueva normativa impone a las empresas la obligación de elegir un "proveedor serio"

Por Redacción ERP-Spain.com
Actualizado el 25 de junio, 2018 - 15.21hs.

acens, proveedor de en servicios de Cloud Hosting, Hosting, Housing y Soluciones de Telecomunicaciones para el mercado empresarial, apunta las siguientes claves a tener en cuenta al elegir un proveedor cloud en cuanto a cumplimiento del RGPD.

acens (www.acens.com),  apunta las siguientes claves a tener en cuenta al elegir un proveedor cloud:

1.       Deberá comunicar al responsable si subcontrata a otro proveedor y transmitirle las obligaciones correspondientes. La ley no impide subcontratación de servicios, pero exige transparencia en la relación contractual entre la empresa y el proveedor de servicios cloud y la necesidad de comunicar debidamente las obligaciones a cumplimentar por todos y cada uno de los proveedores subcontratados conforme al RGPD.

2.       Formalizará un compromiso de confidencialidad y con el personal de administración y operación de sistemas y les formará en GDPR. "El personal de administración y operación de sistemas ha de recibir la formación necesaria para realizar las labores de gestión en los sistemas implicados, disponer de las normas y procedimientos para la realización de éstas y ser consciente del compromiso que mantenga en lo relativo a la confidencialidad e integridad de los datos del cliente", explica Tomás Serna, abogado especializado en sectores de Internet, media y high-tech. Además "se debe mantener una relación actualizada de usuarios con acceso autorizado a la administración y operación de los sistemas de información, con la existencia de un procedimiento de asignación, distribución y almacenamiento de contraseñas de acceso que garantice su confidencialidad e integridad, y con mecanismos para la identificación de forma inequívoca y personalizada de estos usuarios. Asimismo, se debe indicar el acceso autorizado para cada uno de los usuarios, además de la lista de personal con autorización para conceder, alterar o anular el acceso autorizado sobre datos y recursos relativos al servicio prestado por el proveedor", señala Serna.

3.       Garantizará que únicamente accede al CPD el personal autorizado. Se debe contar con medidas de seguridad física en Data Centers, como el control de acceso, vigilancia 24x7 y acceso biométrico para garantizar que únicamente accede a las mismas el personal autorizado. Además, también se deben incorporar circuitos cerrados de TV, sistemas de alimentación ininterrumpida, climatización, detección y extinción de incendios, sistemas tolerantes a fallos, entre otros.

4.       En función de los servicios, implantará medidas de seguridad concretas como la seudonimización y el cifrado para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. En relación con las medidas de seguridad, el reglamento menciona algunos mecanismos y medidas de control como la seudonimización y el cifrado para garantizar la confidencialidad, disponibilidad y acceso a los datos, así como la capacidad del sistema capacidad de soportar datos y recuperarse ante incidentes. "acens proporciona la base para mantener seguros los datos albergados en su infraestructura para que la empresa se preocupe de su negocio, pero sin dejar de tener presente los derechos de los interesados y las buenas prácticas en el uso de datos personales que efectúas por tu parte o que subcontrata a otros terceros", señala Serna. 

5.       Si lo incluye el servicio, realizará copias de seguridad para restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico. El proveedor cloud ha de realizar copias de seguridad de la información del cliente según el modelo de servicio de backup contratado, cuota y planificación, pero será responsabilidad del cliente establecer la política de copias de seguridad, indicando los ficheros o directorios que se deben incluir en estas copias de seguridad, así como solicitar las restauraciones oportunas en su caso para realizar las verificaciones que estime pertinentes. Si el servicio de backup incluye la posibilidad de gestionar la planificación por parte del cliente, será responsabilidad del cliente realizar la planificación y verificar la realización de las copias en base a la información recibida

6.       Realizará tareas de verificación, evaluación y valoración de las medidas de seguridad, de forma regular e idealmente en el marco de un Sistema de Gestión de Seguridad.

7.       Notificará al cliente las incidencias de seguridad cuanto antes. La notificación de incidentes de seguridad a la autoridad competente ya existía para ciertos proveedores de servicio, pero ahora se amplía siendo de ámbito global para todas las compañías. "Una de las novedades más importantes que introduce esta regulación es la obligatoriedad de notificar las violaciones de seguridad cuando son relativas a la privacidad de datos. Hay un plazo de 72 horas e incluso dependiendo del tipo de incidente y de su gravedad será necesario comunicarlo a los usuarios afectados", advierte Serna.

8.       Teniendo en cuenta el alcance del servicio, asistirá y ayudará al cliente en el cumplimiento de RGPD e informará si considera que recibe instrucciones que pueden infringir el RGPD.

9.       Pondrá disposición del responsable toda la información necesaria para demostrar el cumplimiento en auditorías e inspecciones. Las autoridades competentes comprobarán en sus auditorías si se han tenido en cuenta la privacidad y protección de datos en la selección de proveedores.

10.    Suprimirá o devolverá los datos al finalizar el contrato

Comentarios: Lo más reciente de 0 comentario(s)

ERP-Spain.com valora enormemente tu aporte en especial si compartes tus opiniones, puntos de vista y críticas con los demás miembros de nuestra comunidad.
Agrega un comentario
Por favor identifícate aquí para agregar tus comentarios.
Si aún no eres usuario registrado de ERP-Spain.com, puedes registrarte aquí gratis.

Ofertas de empleo para profesionales IT en España y América Latina - TIC-Jobs.com

Ofertas de empleo IT, TIC, ERP, Consultor, Administrador, Programador, Desarrollador, Business Intelligence, BI, Business Process Management, BPM, CRM, Dynamics, ECM, RRHH, SAP, Sharepoint, WCM, Sharepoint, Navision, España, México, Argentina, Chile, Brasil,Perú

Más Secciones »

Hola Invitado