Durante los últimos 18 meses, el cumplimiento de las leyes de protección de datos puede no haber sido una prioridad para muchas organizaciones.
Las empresas tuvieron que moverse rápidamente para cambiar a operaciones remotas y trabajo en casa, y un uso ampliado de la nube les brindó cierta protección.
Pero esto no dará cobertura indefinida para el cumplimiento y las deficiencias regulatorias.
Los expertos esperan que la Oficina del Comisionado de Información y otros reguladores aceleren el ritmo de aplicación el próximo año.
Las organizaciones también deben lidiar con regulaciones nuevas y revisadas, como la próxima PCI-DSS 4.0, que se lanzará en 2022.
Dado que se prevé que el uso de la nube seguirá creciendo (IDC predice que la industria de la computación en la nube tendrá un valor de 1,35 billones de dólares estadounidenses para 2025), las empresas deben asegurarse de contar con las garantías de privacidad y seguridad de datos adecuadas.
Los próximos meses son una oportunidad ideal para que los directores de información revisen sus modelos de cumplimiento de la nube. Aquí hay algunas áreas clave en las que enfocarse.
GDPR y la Ley de protección de datos
Aunque el Reino Unido ya ha salido de la UE, el GDPR (el Reglamento general de protección de datos de la UE) está incorporado a la ley del Reino Unido en virtud de la Ley de protección de datos de 2018. No hay intención de que el Reino Unido se desvíe del GDPR, y las regulaciones de la UE lo han hecho desde entonces. convertirse, si no en un de facto estándar, un modelo para las leyes de protección de datos de otros países.
El GDPR establece las reglas para el procesamiento de datos, incluso cuando son manejados por terceros. Como señala Mathieu Gorge, director ejecutivo de la consultora de privacidad Vigitrust, usar la nube significa automáticamente confiar los datos a un tercero.
“El proveedor de la nube se convierte en un procesador de datos y usted es el controlador de datos”, dice. “Debe asegurarse de que el procesador de datos brinde el nivel adecuado de seguridad, al menos tan bueno como el suyo. Debe asegurarse de que sus flujos de datos estén mapeados y de haber realizado una evaluación del impacto en la privacidad “.
Donde el Reino Unido aún podría divergir de la UE es en la aplicación. El Reino Unido impuso algunas de las mayores multas por protección de datos, antes del Brexit. Desde entonces, estos han sido superados por las sanciones de los reguladores irlandeses y belgas. Según Vigitrust’s Gorge, la ICO podría querer demostrar que todavía tiene el poder de imponer fuertes sanciones, después del Brexit.
PCI-DSS y PCI DSS 4.0
PCI DSS no es un requisito legal, aunque los expertos en privacidad de datos recomiendan que se trate como tal. El PCI Security Standards Council planea publicar un borrador de PCI DSS v4.0 en enero de 2022, para las organizaciones de revisión. Una versión final del estándar está programada para marzo de 2022.
Sin embargo, según los acuerdos de transición, la versión actual de PCI DSS (v3.2.1) permanecerá activa durante 18 meses a partir de la publicación de toda la documentación de PCI DSS v4. Y, de acuerdo con el PCI Security Standards Council, puede haber requisitos con fecha futura. El período de transición para estos requisitos con fecha futura aún no se conoce, pero se espera que sea de dos años y medio a tres años después de la publicación de la versión 4.0.
Esto potencialmente empuja el período de implementación de PCI DSS hasta 2025. Sin embargo, dado el impacto que el estándar puede tener en las organizaciones, los CIO, CISO y controladores de datos deberían revisar el cumplimiento del estándar existente ahora.
“Los detalles de la tarjeta de pago, incluidos los números de tarjeta, a menudo van acompañados de datos personales como la dirección y el nombre completo del titular de la tarjeta. Eso significa que una violación de dichos datos no solo contraviene el cumplimiento de PCI DSS sino también el GDPR, los cuales pueden causar fuertes sanciones financieras ”, advierte Craig Tunstall, consultor senior de nube de HeleCloud.
Directiva de redes y sistemas de información
Al igual que el RGPD, la Directiva de redes y sistemas de información es un reglamento de la UE, incorporado a la legislación del Reino Unido. Aunque la Directiva es menos conocida que el RGPD, sus requisitos son rigurosos. Los proveedores de servicios digitales, incluidos los proveedores de servicios en la nube, deben implementar medidas de seguridad para evitar vulneraciones e infracciones de datos. Si son objeto de un ataque, deben informar al Comisionado de Información dentro de las 72 horas.
Sin embargo, el NIS se ha revisado desde que el Reino Unido abandonó la UE. La legislación cubre dos grupos de organizaciones: Operadores de Servicios Esenciales (OES) y Proveedores de Servicios Digitales Relevantes (RSDP); esto está determinado por la criticidad de su servicio a la infraestructura nacional.
Según Phil Robinson, consultor principal y fundador de Prism Infosec, una consultora de seguridad cibernética, donde los datos se procesan en la nube, las organizaciones que califican como OES o RSDP deben informar cualquier incidente de seguridad al ICO.
Responsabilidades compartidas
Las organizaciones que utilizan la nube deben comprender que comparten la responsabilidad de la protección de datos, la privacidad y la seguridad con sus proveedores.
Esto no se establece en una sola pieza legislativa; más bien es un principio fundamental de GDPR, NIS y otras reglas de protección de datos.
En su forma más simple, significa que las organizaciones siempre son responsables de sus datos, incluso cuando un tercero los almacena o procesa. Estos incluyen servicios en la nube como AWS, suites de productividad como Office365 e incluso servicios de intercambio de archivos orientados al consumidor como Dropbox.
Dada la diversidad de servicios en la nube que se utilizan en la actualidad, las organizaciones deben asegurarse de que la infraestructura que están utilizando coincida con los requisitos normativos y de sensibilidad de la carga de trabajo o el proceso empresarial.
Como señala Tunstall de HeleCloud, los CISO no pueden asumir, por ejemplo, que un flujo de trabajo PCI DSS es compatible, simplemente porque se ejecuta en la parte superior de la infraestructura en la nube (compatible con PCI DSS) de AWS.
“Al almacenar datos en la nube, un área clave del cumplimiento normativo es comprender el modelo de responsabilidad compartida de su proveedor de servicios en la nube y el servicio específico que está utilizando”, advierte.
Residencia de datos, Brexit y adecuación
Las organizaciones también necesitan saber dónde estarán los datos en todo momento. En los días del hardware de almacenamiento local, esto era simple: los datos residían en la sala de datos, el centro de datos o el servicio co-lo. Los datos se mueven solo en raras ocasiones, como en un escenario de recuperación ante desastres.
La naturaleza global de la nube significa que los datos ahora pueden estar en cualquier parte del mundo y tecnologías como el almacenamiento de objetos pueden incluso dividir un solo archivo en múltiples ubicaciones. Todos los proveedores de nube de “hiperescala” ofrecen almacenamiento específico de la región y la capacidad de bloquear datos en una geografía.
Sin embargo, eso no está garantizado para servicios en la nube más pequeños o servicios de terceros que se ejecutan en la infraestructura de nube pública de otros. Después del Brexit, el Reino Unido tiene un acuerdo de adecuación que permite que los datos se almacenen en la UE, pero las restricciones de GDPR se aplican a los datos que provienen del Espacio Económico Europeo al Reino Unido.
Las organizaciones que mueven datos fuera del EEE, los EE. UU. Y Australia deben demostrar que las leyes de protección de datos son suficientes para cumplir con la DPA, que tienen el consentimiento del interesado y que cumplen con las leyes locales, como la PIPL de China.
El lugar donde residen los datos es un área compleja, y las organizaciones deben recibir asesoramiento profesional en una etapa temprana de cualquier proyecto en la nube.