Aunque es 28 de diciembre, no es una broma. La Agencia Española de Protección de Datos ha lanzado una consulta pública en relación a la computación en la nube.
Lo primero que debemos decir, es que, nos sumamos a las voces que ya han aplaudido esta decisión de la Agencia (ver, por ejemplo, la repercusión de la noticia en twitter).
Una vez dicho esto, nos gustaría compartir nuestras principales reflexiones en este ámbito:
- Con carácter general, hemos de considerar que la computación en la nube es, por una parte, una evolución del típico outsourcing de TI, pero, por otra, ha revolucionado el aprovisionamiento de servicios y cambiado la forma de gestionar los sistemas de información. Este profundo cambio nos obliga a adecuar nuestros esquemas mentales para aplicar medidas acorde a esta nueva realidad y no intentar aplicar medidas anteriores a esta nueva situación.
- En particular, en relación a la figura de los proveedores de servicios, pensamos que sería muy oportuno aplicar un criterio similar al empleado por PCI-DSS en cuanto al hecho de que, cuando un proveedor maneja información cifrada pero no dispone de la clave para su descifrado, no se considera a dicho proveedor un prestador de servicios puesto que, en realidad, lo único que gestiona es almacenamiento, capacidad de procesamiento, comunicaciones… pero no información. En este sentido, sería muy adecuado considerar que cuando un proveedor de servicios en la nube solo maneja información cifrada, no se consideran datos de carácter personal y, por tanto, no debe aplicar medidas en este sentido. Los requerimientos de protección pasan, por completo, al responsable y custodio de las claves de descifrado. [Esta medida es especialmente relevante en los modelos IaaS y PaaS]
- En relación a los contratos de prestación de servicios en la nube, consideramos que son las utilities del siglo XXI y, por lo tanto, su modelo de funcionamiento debe aproximarse más a lo que ya existe para, por ejemplo, el suministro de electricidad o agua. Nos referimos a un mercado en el que existan ciertos requisitos para poder ser prestador de servicios y unas condiciones generales de contratación, por ejemplo. Aunque puede sonar a limitación de acceso al mercado, existen mecanismos para que no sea así (véase la Ley de Firma Electrónica y lo establecido en cuanto a los Prestadores de Servicios de Certificación).
- Finalmente, en cuanto a la posibilidad de utilizar una certificación de proveedor nos parece un modelo difícil de implementar, puesto que la seguridad, como propiedad «emergente» de un sistema es muy difícil de certificar (¿quién va a garantizar que un sistema es seguro?). En este sentido, nos parece más útil un sistema basado en la calificación de los servicios prestados (similar al funcionamiento de las agencias de rating pero para sistemas de información) como el explicado durante la rooted CON 2011 (enlace al vídeo).
¿Qué opináis? ¿Cuáles han sido vuestra posición en la consulta de la AEPD?
Puedes seguirnos en twitter.com/enplusone