En los primeros años de Internet, podías ver físicamente el hardware donde se almacenaban tus datos. Sabías dónde estaban y qué tipo de bloqueos y protecciones de seguridad tenías. Unas décadas después, todos los datos están "en la nube". Ahora, tienes que confiar en que tu proveedor de servicios en la nube esté adoptando medidas de seguridad, igual que harías tú si tus datos estuvieran todavía en tu hardware. La buena noticia es que ya no solo tienes que confiar en tu proveedor. Hay varias formas en las que un proveedor de servicios en la nube puede demostrar que cuenta con soluciones de protección de privacidad y seguridad eficaces.
Hoy nos complace anunciar que Cloudflare ha realizado tres avances importantes para acreditar la protección de la seguridad y la privacidad que proporcionamos a los clientes de nuestros servicios en la nube. El primero es que hemos conseguido la certificación clave de servicios en la nube, ISO/IEC 27018:2019. Además, hemos completado nuestra auditoría independiente y hemos recibido nuestra certificación del Catálogo de controles de cumplimiento de informática en la nube ("C5"). Por último, nos hemos unido a la Asamblea General del Código de conducta de la nube de la UE con el fin de ayudar a aumentar el impacto del ecosistema de la nube de confianza y animar a más organizaciones a adoptar servicios en la nube de conformidad con el RGPD.
Cloudflare está comprometido con la privacidad y la seguridad de los datos desde sus inicios, y es importante para nosotros poder demostrar estos compromisos. Las certificaciones ofrecen a nuestros clientes la garantía de que un tercero ha verificado de forma independiente que Cloudflare cumple los requisitos establecidos en la norma.
ISO/IEC 27018:2019 - Certificación de servicios en la nube
El 2022 ha sido un gran año para las personas a las que les gusta el número "dos". El mes de febrero se caracterizó por el número "dos" el 22 de febrero de 2022 a las 20:22:02: ¡día veintidós, del mes dos, del dos mil veintidós, a las veinte horas y veintidós minutos y dos segundos! Además de que la fecha es un palíndromo, se lee igual hacia delante y hacia atrás en un reloj digital vintage de los años 80, la fecha y la hora se pueden escribir también como un ambigrama, que se puede leer tanto al revés como al derecho:
Cuando llegamos al 22/02/2022, nuestro equipo estaba ocupado completando nuestra segunda auditoría anual para conseguir la certificación según la norma ISO/IEC 27701:2019. Fuimos una de las primeras organizaciones de nuestro sector en conseguir esta nueva certificación de privacidad ISO en 2021, y la primera empresa de soluciones de seguridad y rendimiento de Internet en estar certificada para ello. Y ahora, Cloudflare ha obtenido la certificación de una segunda norma internacional en materia de privacidad relacionada con el procesamiento de datos personales: ISO/IEC 27018:2019.1
La norma ISO 27018 es una extensión de la privacidad de las normas más difundidas del sector ISO/IEC 27001 e ISO/IEC 27002, que describen cómo establecer y ejecutar un sistema de gestión de la seguridad de la información. La ISO 27018 amplía las normas en un código de prácticas sobre cómo se debe proteger cualquier información personal cuando se procesa en una nube pública, como la de Cloudflare.
¿Qué significa la norma ISO 27018 para los clientes de Cloudflare?
En pocas palabras, con las certificaciones ISO 27701 y ISO 27018 que ha conseguido Cloudflare, los clientes pueden estar seguros de que tenemos un programa de privacidad que cumple con las normas del sector de conformidad con el RGPD y también que protegemos los datos personales procesados en nuestra red como parte de ese programa de privacidad.
Estas certificaciones, además del Anexo de procesamiento de datos ("DPA") que ponemos a disposición de nuestros clientes, ofrecen a nuestros usuarios varias capas de garantía de que cualquier dato personal que Cloudflare procese en su nombre se procesará conforme con los requisitos del RGPD.
La norma ISO 27018 incluye mejoras en los controles vigentes de la norma ISO 27002 y un conjunto adicional de 25 controles identificados para las organizaciones que son procesadores de datos personales. Los controles son básicamente un conjunto de prácticas recomendadas que los procesadores deben cumplir en cuanto a las prácticas del procesamiento de datos y la transparencia sobre dichas prácticas, la protección y la encriptación de los datos personales procesados, así como la gestión de las cuestiones relacionadas con los derechos de los interesados, entre otros. Como ejemplo, uno de los requisitos de la norma ISO 27018 indica:
Cuando se contrate a la organización para el procesamiento de datos personales, dichos datos personales no se podrán utilizar con fines publicitarios o comerciales sin determinar que se ha obtenido el consentimiento previo del interesado. Dicho consentimiento no será una condición para recibir el servicio.
Cuando Cloudflare actúa como procesador de datos de nuestros clientes, esos datos (y cualquier dato personal que puedan contener) pertenecen a nuestros clientes, no a nosotros. Cloudflare no rastrea a los usuarios finales de nuestros clientes con fines publicitarios o comerciales, y nunca lo haremos. Incluso hemos trascendido las exigencias del control de las normas ISO y hemos añadido este compromiso a nuestro DPA de clientes:
"... Cloudflare no utilizará los Datos personales con fines publicitarios o comerciales ..."
3.1(b), Anexo de procesamiento de datos de Cloudflare
Cloudflare obtiene la certificación ISO 27018:2019
Para la ISO 27018, Cloudflare fue evaluada por un auditor externo, Schellman, entre diciembre de 2021 y febrero de 2022. La certificación de una norma de privacidad ISO es un proceso de varios pasos que incluye una auditoría interna y otra externa, antes de que el auditor independiente certifique finalmente la norma. El nuevo certificado conjunto de Cloudflare, que incluye las normas ISO 27001:2013, ISO 27018:2019 e ISO 27701:2019, ya se puede descargar en el panel de control de Cloudflare.
C5:2020 - Catálogo de controles de cumplimiento de informática en la nube
No solo anunciamos ISO 27018. Como publicamos en nuestro blog en febrero, Cloudflare también se sometió a una auditoría independiente para conseguir la certificación del Catálogo de controles de cumplimiento de informática en la nube, también conocida como C5, que fue presentada por la Oficina Federal de Seguridad de la información ("BSI") en 2016 y actualizada en 2020. C5 evalúa el programa de seguridad de una organización frente a una norma de sólidos controles de seguridad en la nube. Tanto las agencias gubernamentales alemanas como las empresas privadas otorgan un alto nivel de importancia a la adaptación de sus requisitos de informática en la nube con estas normas. Más información sobre C5 aquí.
Hoy nos complace anunciar que hemos completado nuestra auditoría independiente y hemos recibido nuestra certificación C5 de nuestros auditores externos. Ya puedes descargar el certificado C5 en el panel de control de Cloudflare.
Y esto no queda aquí…
Cuando se adoptó el Reglamento general de protección de datos ("RGPD") de referencia de la Unión Europea, hace cuatro años esta semana, el artículo 40 recomendaba:
" ...la elaboración de códigos de conducta destinados a contribuir a la correcta aplicación del presente Reglamento, teniendo en cuenta las particularidades de los distintos sectores de procesamiento y las necesidades específicas de las micro, pequeñas y medianas empresas".
Este pasado fin de semana se cumplía un año desde que la Unión Europea aprobó oficialmente el primer código de conformidad con el RGPD, el 'Código de conducta de la nube de la UE'. Este código está diseñado para ayudar a los proveedores de servicios en la nube a demostrar la protección que ofrecen a los datos personales que procesan en nombre de sus clientes. Abarca todas las capas de servicios en la nube, y el organismo de control acreditado SCOPE Europe supervisa su conformidad. Inicialmente, los proveedores de servicios en la nube se adhieren como miembros de la Asamblea general del código, y luego el segundo paso es someterse a una auditoría para validar su adhesión al código.
Hoy nos complace anunciar que Cloudflare se ha unido a la Asamblea general del Código de conducta de la nube de la UE. Estamos a la espera de la segunda etapa de este proceso, realizando nuestra auditoría y ratificando públicamente nuestra conformidad con el RGPD como procesador de datos personales.
Certificaciones de Cloudflare
Los clientes ya pueden descargar una copia de nuestras certificaciones e informes en el panel de control de Cloudflare. Los clientes nuevos pueden solicitar estos documentos a su representante de ventas. Para obtener la información más actualizada sobre nuestras certificaciones e informes, visita nuestro Centro de confianza.
...
1El Organismo internacional de normalización ("ISO") es una organización internacional no gubernamental formada por organismos nacionales de normalización que desarrolla y publica una amplia variedad de normas propias, industriales y comerciales.