CLOUD COMPUTING

ISO/IEC 27017:2015: 18.1.4- PRIVACIDAD Y PROTECCIÓN DE DATOS PERSONALES

Cliente del servicio en la nube

El cliente del servicio en la nube debe identificar los requisitos legales, normativos y contractuales nacionales y extranjeros de la protección de datos y la privacidad de la información personal, según el propósito del uso del servicio en l nube. El cliente del servicio en la nube debe solicitar al proveedor de servicios en la nube información sobre los requisitos legales y reglamentarios nacionales y extranjeros de protección de datos y privacidad de la información personal para aclarar los requisitos legales y reglamentarios del país o región dese donde se proporciona el servicio en la nube.

Proveedor del servicio en la nube

El proveedor debe proporcionar información sobre la jurisdicción legal que el servicio en la nube afecta al cliente para brindarle soporte y pueda identificar la legislación pertinente para la protección de datos y la privacidad de la información personal. El proveedor de servicios en la nube debe proporcionar información sobre los requisitos legales y reglamentarios nacionales y extranjeros de protección de datos y privacidad de la información personal aplicables en la nube para el cliente.

CLOUD COMPUTING

ISO/IEC 27017:2015: 18.1.1- IDENTIFICACIÓN DE REQUISITOS CONTRACTUALES Y DE LEGISLACIÓN APLICABLE

Cliente del servicio en la nube

El cliente del servicio en la nube debe identificar los requisitos legales, normativos y contractuales nacionales y extranjeros según el uso del servicio en la nube.

Proveedor del servicio en la nube

El proveedor debe proporcionar información sobre los requisitos legales y reglamentarios del país o región desde donde se proporciona el servicio En la nube.

Cuando el proveedor del servicio en la nube utiliza servicios en la nube de upstream, sus jurisdicciones, leyes y regulaciones aplicables deben ser documentadas y mantenidas al día por el propio proveedor de servicios.

Cuando así se acuerde, el proveedor de servicios de nube debe monitorear el cumplimiento para garantizar que los datos del cliente estén contenidos dentro de la geo-ubicación aplicable o las restricciones jurisdiccionales legislativas. Cuando el proveedor proporcione un servicio de Cloud basado en varios países / regiones cada uno con propias leyes aplicables, el proveedor de servicios en la nube debe informar al cliente sobre dichos países / regiones.

El proveedor de servicios en la nube debe verificar si las leyes y regulaciones son diferentes según la federación de naciones, países, estados y ciudades, y mostrar cada uno de sus nombres con claridad suficiente para que el cliente del servicio en la nube reconozca a cada uno de ellos.

El proveedor de servicios en la nube debe mostrar claramente el lugar de cada jurisdicción de los tribunales pera cada una de las leves y reglamentos.

CLOUD COMPUTING

ISO/IEC 27017:2015: 16.1.7- RECOLECCIÓN DE EVIDENCIA

Cliente del servicio en la nube

El cliente del servicio en la nube debería:

a) identificar información que puede servir como evidencia que reside dentro del servicio en la nube o dentro del entorno del proveedor asociado con el servicio en la nube.

b) establecer procedimientos mediante los cuales la información se puede recopilar y adquirir del servicio en la nube del entorno del proveedor relacionado.

c) garantizar que la Información que puede servir preserve dentro del servicio de la nube el entorno del proveedor relacionado.

Idealmente, el manejo de esta información debe estar cubierto por el acuerdo de servicio en la nube.

El cliente del servicio en la nube debe solicitar información al proveedor del servicio en la nube, cuando el proveedor del servicio en la nube administre la información que podría ser evidencia legal para el cliente del servicio en la nube.

Proveedor del servicio en la nube

El proveedor de servicios en la nube debe considerar información contenida dentro del servicio en la nube o dentro de su entorno que quede servir como evidencia.

Cuando así se acuerde. el proveedor te servicios en la nube debe:

a) documentar la información que puede servir como evidencia (y proporcionar dicha documentación a clientes)

b) establecer procedimientos para conservar dicha información, incluido el período de conservación

c) establecer procedimientos mediante los cuales un cliente puede solicitar y obtener acceso a dicha información cuando hay costos y cargos asociados con dicho acceso, deben documentarse para el cliente.

d) en entornos de múltiples clientes debe asegurarse de aislar la información relacionada con los diferentes clientes y asegurarse de que un cliente en particular solo tenga acceso a su información relacionada

e) garantizar el cumplimento del registro y la conservación de información con los requisitos jurídicos que se aplica al servicio en la nube.

Nota: esto puede incluir la normativa que se aplica al cliente, así como la que se aplica al proveedor del servicio en la nube.

f) Descripción del proceso de soporte forense, si está disponible;

g) información disponible (de máquinas virtuales, redes, SIEM, IPS y otras fuentes)

h) Se proporcionará información forense sobre interfaces y API. si está disponible

i) medidas de protección contra daños colaterales durarte una investigación forense en recursos compartidos si están disponibles:

j) protección de información confidencial de otros durante una investigación forense recursos compartidos como RAM o Red, si está disponible;

k) Competencia del personal disponible que respalda las investigaciones forenses

I) conocimiento del proveedor de las leyes locales

m) Procedimientos y medidas para aislar estrictamente los datos de evidencia relacionados con el cliente si están disponibles. El proveedor de servicios en la nube debe considerar las restricciones de protección de datos y las mejores prácticas para tratar la conservación de datos.

CLOUD COMPUTING

ISO/IEC 27017:2015: 16.1.4- EVALUACIÓN Y DECISIÓN SOBRE EVENTOS DE SEGURIDAD DE LA INFORMACIÓN

Cliente del servicio en la nube

El cliente del servicio en la nube debe verificar la definición de información con respecto a incidentes graves de seguridad de la información y la política de provisión de información proporcionadas por el proveedor, y revisar el marco de gestión de incidentes cuando sea necesario.

Proveedor del servicio en la nube

El proveedor de servicios en la nube debe definir un incidente de seguridad de la información en el entorno de la nube como grave, definir y documentar la política de provisión de información con respecto al incidente, y notificar al cliente.

El proveedor de servicios en la nube debe definir la información del incidente grave de seguridad de la información compartido entre la cadena de proveedores y documentarla luego de llegar a un acuerdo con sus proveedores (suppliers).

CLOUD COMPUTING

ISO/IEC 27017:2015: 16.1.1- RESPONSABILIDADES Y PROCEDIMIENTOS

El cliente del servicio en la nube debería verificar el proceso de distribución de información de incidentes graves de seguridad de la información del proveedor y ser capaz de adquirir información precisa. El cliente debería notificar al proveedor del servicio en la nube y tener información cuando se confirme que el incidente ocurrió en el entorno del Cloud Computing.

CLOUD COMPUTING

ISO/IEC 27017:2015: 15.1.3- CADENA DE SUMINISTRO DE TECNOLOGÍA DE INFORMACIÓN Y COMUNICACIÓN

En el caso que un proveedor de servicios en la nube sea cliente de otro servicio en la nube, debe pasar por los niveles de servicio de sus proveedores. El proveedor debe garantizar que los niveles de servicio garantizados a sus clientes de servicios en la nube no interfieran con los niveles de servicio más bajos de sus propios proveedores.

CLOUD COMPUTING

ISO/IEC 27017:2015: 15.1.2- ABORDAR LA SEGURIDAD DENTRO DE LOS ACUERDOS CON PROVEEDORES

El proveedor de servicios en la nube debe proporcionar especificaciones de servicios que incluyan controles de seguridad de la información que se abordarán en acuerdos para respaldar al candidato a cliente del servicio en la nube al evaluar los controles de su política de seguridad de la información sobre la relación con proveedores o el uso de la computación en la nube.

La entrega del servicio del proveedor de servicios en la nube debe coincidir con los requisitos de la política del cliente y los requisitos legales del contrato entre ambos. Cuando el proveedor de servicios en la nube proporciona servicios de computación en la nube basados en la cadena de suministro, el proveedor de servicios en la nube debe proporcionar objetivos de gestión de riesgos a sus suppliers (proveedores del proveedor) y solicitar a cada uno de ellos que realice actividades de gestión de riesgos para lograr el objetivo.

Algunos clientes de servicios en la nube pueden colocar condiciones específicas en los acuerdos del servicio relacionados a recursos humanos del proveedor involucrados en la entrega del servicio. Si el proveedor estuviera de acuerdo con estas condiciones, entonces él está obligado a reflejar estas condiciones y asignarlas al proyecto.

CLOUD COMPUTING

ISO/IEC 27017:2015: 14.1.1- ANÁLISIS Y ESPECIFICACIÓN DE REQUISITOS DE SEGURIDAD DE LA INFORMACIÓN

Cliente del servido en la nube

El cliente debe especificar los requisitos de seguridad para el servicio en la nube. El cliente debe analizar y evaluar la alineación de los controles implementados en el servicio en la nube con sus requisitos especificados. El cliente del servicio en la nube debe Incluir los riesgos específicos de la nube junto con los riesgos de seguridad da la información general de la organización como aportes al proceso de evaluación de riesgos de segundad de la información y evaluar las diferencias de los riesgos entre los servicios en la nube y en la infraestructura. El uso del servicio en la nube puede aumentar o, a veces, disminuir los riesgos de seguridad de la información.

El cliente debe ser consciente de que la visibilidad de los controles y los niveles logrados de seguridad de la información tiende a ser limitada en el uso del servicio en la nube, y los riesgos de seguridad de la información pueden ser difíciles de identificar.

Proveedor del servicio en la nube

El proveedor de servicios en la nube debe proporcionar información relacionada con los controles implementados del servicio en la nube al cliente para ayudar a analizar la alineación del tratamiento de control entre los requisitos del cliente y los controlas implementados.

El proveedor de servicios en la nube debe implementar controles adecuados para garantizar el aislamiento de diferentes clientes.

Los riesgos específicos de la nube para el cliente también son los del proveedor de servicios en la nube y pueden establecerse como riesgos comerciales del proveedor de servicios en la nube.

El proveedor debe proporcionar información sobre los riesgos de seguridad de la información del servicio en la nube al cliente. La Información debe proporcionarse en el nivel apropiado de descripción, p. como declaración de nivel de servicio, riesgos con controlas o, en el caso da que se requieran detallas técnicos, mecanismos de control, que complementen la naturaleza del servicio en la nube.

Los riesgos de seguridad de la información de un SaaS pueden transmitirse por la descripción del nivel da servicio. mientras que el proveedor de SaaS que se ejecuta en laaS puede requerir descripciones que incluyan mecanismos de control de la infraestructura.

CLOUD COMPUTING

ISO/IEC 27017:2015: 13.1.3- SEGREGACIÓN EN REDES

Cliente del servicio en la nube

El cliente del servicio debería solicitar información sobra las especificaciones funciónalas sobra la división da las redes en dominios de red separados, al proveedor del servicio en la nube para segregar las redes del servicio en la nube.

Proveedor del servicio en la nube

El proveedor de servicios en la nube debe hacer cumplir la segregación lógica da las redes entre los clientes del servicio en la nube, tanto para el acceso como para la interconexión de los recursos virtualizados dentro de la nube (por ejemplo, máquinas virtuales en las redes VLAN). También debería existir una segregación entre las redes utilizadas para acceder a los servicios en la nube, y la red utilizada para administrar y gestionar la nube internamente por parte del proveedor.

Ejemplo de casos en los que se requiere segregación de redes al proveedor son:

a) Competidores dentro de una misma industria coexisten en el mismo entorno cloud.

b) Cuando disposiciones regulatorias dictan segregar o aislar un determinado tipo de tráfico de red.

CLOUD COMPUTING

ISO/IEC 27017:2015: 13.1.2- SEGURIDAD DE SERVICIOS DE RED DEL CLIENTE DEL SERVICIO EN LA NUBE

El cliente del servicio en la nube debe solicitar las especificaciones del servicio relacionadas con la(s) red(es), incluida la capacidad de red y la redundancia, a los proveedores de servicios en la nube para seleccionar un servicio de computación en la nube.