El boletín diario de seguridad de Inteco – Cert se hace eco de una noticia publicada en CSO (IDG) referida al inicio de una investigación sobre las potenciales amenazas que los servicios de cloud computing pueden representar para la privacidad y la seguridad de los datos de los consumidores.
La investigación es una iniciativa de la Federal Trade Commission (FTC) norteamericana y se extenderá al modo en que las empresas realizan la gestión de identidades en sus sistemas y aplicaciones. En este aspecto, el análisis se centrará en los medios que permitan a las empresas reforzar sus prácticas en materia de gestión de identidades.
La seguridad de los datos y la gestión de identidades son puntos clave a tener en cuenta en el momento de externalizar funciones relacionadas con el tratamiento de datos personales y al redactar las cláusulas de un contrato de cloud computing.
Mantengo mi opinión sobre la necesidad de establecer ciertas cautelas en la externalización, aunque, al parecer, esta prudencia será propia de iletrados digitales en 2010.
Hola Xabier, soy un asiduo lector de tu blog y gran seguidor de todo lo referente a nuevas tecnologías. En particular, me digirjo a tí para acerte una consulta, me vas a perdonar que lo haga desde aquí pero no encuentro un mail de contacto.
Mi empresa va acceder a datos de clientes de otra para prestar un servicio, en el contrato de prestación de servicios me obligan a contemplar para este pase de datos el nivel medio porque su fichero está declarado así, entiendo que crean perfiles de sus clientes, pero a mí yo sólo voy a tener acceso a nombre y dirección para prestar el servicio, no al resto de la información. La cuestión es si estoy obligado a implantar el nivel medio o puedo obligarles a reconsiderar el contrato en función de los datos que me pasan.
Un saludo.
Jose Antonio: gracias por tus comentarios. En mi opinión, si para la prestación del servicio sólo tratas un extracto del fichero con nombres y dirección, puedes negociar la aplicación de medidas de nivel básico.
Pueden surgir obstáculos para aplicar el nivel básico en los siguientes casos:
1. Si accedes online a su fichero.
2. Si el servicio prestado permite adivinar la segmentación realizada.
3. Si durante el servicio puede suministrarse información que permita conocer el perfil del cliente o los criterios de segmentación.
4. Si el proceso de disociación es defectuoso y se producen otras situaciones de riesgo de filtraciones.
Si consideras que alguno de estos riesgos puede amenazar la disociación realizada, es recomendable que apliques las medidas de seguridad correspondientes al nivel medio.
En cualquier caso, también te recomiendo que acudas a un abogado experto para que analice el contrato, ya que puede haber otras cuestiones que aconsejen aplicar el nivel medio.
Un saludo.