Política de encargado del tratamiento de datos personales en la nube

La Política de encargado del tratamiento de datos personales en la nube define requisitos obligatorios de privacidad para servicios en la nube en los que la organización actúa como encargado del tratamiento o subencargado del tratamiento de datos personales. Su alcance incluye SaaS, PaaS, IaaS, aplicaciones alojadas, nube gestionada, soporte en la nube, almacenamiento en la nube, analítica en la nube y servicios de infraestructura en la nube que tratan datos personales en nombre de clientes. La política está diseñada para mantener el tratamiento en la nube alineado con acuerdos documentados con clientes, instrucciones del cliente, instrucciones del encargado del tratamiento anterior, acuerdos con subencargados del tratamiento, configuración de regiones de nube, acceso de soporte en la nube, administración del servicio, copia de seguridad, replicación, registro de eventos, supervisión, supresión, devolución, asistencia en caso de brecha de seguridad, soporte de auditoría y obligaciones de asistencia al cliente. Un objetivo central de la política es el control basado en evidencias. Antes de la incorporación de clientes o de un cambio material del servicio, el Responsable de Privacidad / Responsable del PIMS debe registrar cada servicio de tratamiento de datos personales en la nube, rol del tratamiento, fuente de la instrucción del cliente, categorías de datos personales, categorías de interesados, finalidad del servicio, ubicación del tratamiento, dependencia de subencargados del tratamiento, dependencia de supresión e indicador de transferencia en REG02 y REG08. La política también exige que la aplicabilidad de los controles del encargado en la nube se registre en REG03, que el enrutamiento de transferencias y ubicaciones se capture en REG09 cuando corresponda, que los incidentes de datos personales en la nube se gestionen mediante REG10, y que la supervisión, excepciones, disputas, resultados de validación y acciones correctivas se gestionen mediante REG12. Esto mantiene las obligaciones del encargado en la nube integradas con el conjunto existente de políticas del PIMS y evita crear registros separados para contratos, servicios, aislamiento entre tenants, acceso, registros, supresión, soporte, auditorías, brechas de seguridad o subencargados del tratamiento. La política establece requisitos prácticos durante el ciclo de vida del servicio en la nube. Exige instrucciones documentadas del cliente o del encargado del tratamiento anterior antes de que comience el tratamiento, revisión de instrucciones que parezcan incompatibles con las obligaciones o con el alcance del servicio aprobado, y aprobación antes de que cualquier dato personal del cliente se trate fuera de las instrucciones documentadas. También aborda la configuración de la nube y las evidencias de seguridad al exigir límites de responsabilidad compartida, validación del aislamiento entre tenants, acceso administrativo controlado, revisión trimestral del acceso privilegiado y de la cobertura de registro de eventos, separación de entornos, y ubicaciones registradas de copias de seguridad, replicación, almacenamiento de registros y acceso de soporte. Estos requisitos están vinculados deliberadamente a los controles de seguridad de datos personales existentes, en lugar de sustituir la Política más amplia de seguridad y control de acceso de datos personales. La gobernanza de subencargados del tratamiento y de la cadena de suministro en la nube se trata como una obligación esencial del encargado del tratamiento. El Propietario de proveedores / Adquisición debe registrar los subencargados del tratamiento en la nube, proveedores de infraestructura, proveedores de alojamiento, proveedores de servicios gestionados, proveedores de soporte y otras dependencias materiales de servicios en la nube antes de su uso. La política exige evidencias de autorización del cliente o base de autorización documentada, obligaciones trasladadas contractualmente en materia de privacidad, seguridad, asistencia, incidentes, devolución, supresión, soporte de auditoría y transferencias, así como registros de ubicaciones del servicio, ubicaciones de soporte remoto, regiones de alojamiento y enrutamiento de transferencias ulteriores. También exige la notificación al cliente de los cambios previstos de subencargados del tratamiento en la nube dentro del período de aviso exigido contractualmente y, como mínimo, una revisión anual de los registros activos de subencargados del tratamiento en la nube y dependencias de nube. La política también cubre la asistencia al cliente, el soporte de auditoría, la interfaz de brechas de seguridad, la supresión y la salida. Las obligaciones de asistencia al cliente para solicitudes de derechos, supresión, rectificación, restricción, acceso, auditoría, soporte de EIPD y asistencia en caso de brecha de seguridad deben registrarse antes de la ejecución del contrato o la activación del servicio. La asistencia en solicitudes de derechos solicitada por el cliente debe completarse dentro del plazo acordado con el cliente, las solicitudes de asistencia en EIPD o evaluaciones con impacto significativo en la privacidad deben revisarse en un plazo de diez días hábiles, y las solicitudes de asistencia vencidas o disputadas deben someterse a seguimiento. Para la salida, la política exige evidencias de capacidad de exportación, devolución, transferencia o supresión antes de la incorporación o de un cambio material del servicio, finalización dentro de los plazos acordados con el cliente, inclusión de sistemas en producción, copias de seguridad, réplicas, registros, archivos temporales, entornos de preproducción y copias de soporte, y gestión de no conformidades cuando las obligaciones no puedan completarse a tiempo. La gobernanza se refuerza mediante revisiones trimestrales de integridad de evidencias, revisiones anuales de la política y de subencargados del tratamiento, muestreo de auditoría, métricas, medidas de aplicación y aprobación de la Alta Dirección para excepciones y revisiones materiales.