Auditoría y certificación LOPD Nivel Alto de Microsoft Office 365 y Microsoft Azure

  • Article

Y después de este título tan explícito aquí podría terminar ya el post. Pero ya sabéis que no :-).

No hay Transformación Digital sin el uso del Cloud. No hay Cloud sin Confianza. No hay Transformación Digital sin Confianza. El cumplimiento regulatorio es una pieza fundamental en esta confianza y por eso nos esforzamos mucho en construir una arquitectura cloud de cumplimiento global.

En este sentido, y tras un intenso y largo proyecto al respecto, acabamos de finalizar el proyecto de Auditoría y desde este momento disponemos de un Informe de Auditoría de los servicios Office 365 y Azure conforme al Nivel Alto de la LOPD, así como los correspondientes certificados.

Esta es la conclusión del auditor, extraída del informe de Azure y que es igual para Office 365:

“En la comprobación de la adecuación de las medidas y controles de seguridad conforme a nivel alto del Real Decreto 1720/2007, del 21 de Diciembre, de aquellos aspectos de aplicación para el Servicio de Microsoft Azure, no se han identificado puntos que requieran medidas de corrección en el proceso de seguridad actual, por lo que, las medidas y controles de seguridad en el servicio Microsoft Azure de Microsoft , sus sistemas de información e instalaciones de tratamiento de datos, cumplen a nivel alto con lo dispuesto en reglamento de Desarrollo de la LOPD, así como con los procedimientos e instrucciones vigentes en materia de seguridad de datos”

¿Por qué hemos hecho esto desde Microsoft?   Por varios motivos:

  1. Facilitar al máximo la conversación de Protección de Datos y cumplimiento LOPD en cloud en todos nuestros clientes pasados, presentes y futuros de Microsoft Office 365 y Azure.  Es bien conocida la importantísima resolución favorable de la AEPD (Agencia Española de Protección de Datos) al respecto de los servicios Cloud de Microsoft.  Pues bien, en cuestiones de seguridad, nos habéis trasladado cuestiones adicionales. Me refiero en concreto a cuestiones sobre la capacidad tecnológica y operacional de los servicios cloud para ayudaros a implementar las medidas técnicas que recoge el Reglamento de la LOPD (Titulo VIII) , y que os son de obligada aplicación. Y hemos creído que nuestra respuesta a este respecto tenía que ser muy explícita. Y nada más explícito y contundente que un certificado de auditoría.
  2. Aun cuando la Unión Europea acaba de aprobar un nuevo Reglamento General de Protección de Datos, que sustituirá a todas las “LOPDs” de los distintos Estados Miembros, el nuevo Reglamento europeo no será efectivo hasta Mayo 2018. Por lo tanto, en los próximos dos años se seguirá aplicando la LOPD y, por consiguiente, tenemos que seguir hablando en terminología LOPD con nuestros clientes.
  3. Esta auditoría de medidas de seguridad, unida a la aprobación de los contratos de contratos por parte de la AEPD, termina de cerrar el círculo en materia de cumplimiento con la LOPD. No solo los contratos son correctos, como dice la Agencia, sino que además implementamos correctamente las medidas de seguridad para alcanzar un Nivel Alto y ofrecemos capacidades tecnológicas suficientes (siempre y cuando se implemente adecuadamente) para que los clientes pudieran cumplir con sus obligaciones en esta materia, como acreditan los auditores

Nunca está de más evangelizar al respecto de Privacidad y Protección de Datos ¿Qué es el Nivel Alto de la LOPD?   El Reglamento de desarrollo de la LOPD, que es de obligado cumplimiento para todos, establece distintos niveles de seguridad que debemos asegurar en función de la sensibilidad de los datos que manejemos. Los niveles son Básico, Medio y Alto. El Nivel Alto es el más exigente y engloba los niveles anteriores. El Nivel Alto se requiere para tratar datos muy sensibles, como son, por ejemplo, los datos de salud. El tratamiento de datos sensibles está más generalizado de lo que podamos pensar: muchos departamentos de Recursos Humanos en empresas e instituciones tratan datos personales de alta sensibilidad. Por eso, cumplir y poder acreditar el Nivel Alto es una necesidad que nos habeis transmitido en numerosas ocasiones.

¿Hemos tenido que cambiar algo en nuestro cloud para lograr esta certificación?   No, los auditores simplemente han constatado que el Cloud de Microsoft ya reunía los requisitos de seguridad establecidos por la normativa. Ahora bien, a partir de ahora, los clientes van a disponer de una confianza reforzada al contar con una Certificación LOPD, dictada por un auditor independiente, que acredita el cumplimiento de dicho Nivel Alto.

Resumen de certificaciones que tenemos conforme a la normativa española.  Además de numerosos estándares internacionales, nuestros servicios cloud gozan de las siguientes certificaciones o declaraciones conforme a la normativa española

  • Resolución AEPD - Nuestros contratos ofrecen garantías adecuadas para que los clientes exporten datos personales a la nube corporativa de Microsoft (Office 365, Dynamics CRM Online y Microsoft Azure).
  • Certificación LOPD (en breve, añadiremos imágenes de certificado) - Nuestros servicios Office 365 y Azure contienen medidas de seguridad que ofrecen a los clientes un nivel ALTO de seguridad conforme al Reglamento LOPD.
  • Certificación ENS - Nuestros servicios Office 365 y Azure contienen medidas de seguridad que ofrecen a los clientes un nivel ALTO de seguridad conforme al Esquema Nacional de Seguridad.

Entre los estándares internacionales más importantes, cabe destacar el cumplimiento de nuestro servicios cloud con el estándar ISO 27018. pensado por y para la Protección de datos de caracter personal en el Cloud

Y nada más. Construyamos soluciones sobre el Cloud de Office 365 y Azure, exploremos opciones, utilicemos servicios, transformemos nuestros negocios, planteemos escenarios reales de innovación avanzada ... Es lo que toca una vez que vamos dejando atrás la conversación a veces bloqueante, pero necesaria, de la seguridad, la privacidad o del cumplmiento regulatorio.