La CNIL está lejos de actuar sólo en el aspecto represivo (como en la multa impuesta a Amazon) de sus actividades. La Comisión Nacional para las Tecnologías de la Información y las Libertades también es prolífica en términos de recomendaciones, guías y otras hojas prácticas. Este último formato de publicaciones de la organización acaba de ser complementado por dos más recientes relacionados, por un lado, con cifrado en la nube públicay por otro lado en herramientas de seguridad de aplicaciones web en la nube. “La seguridad es fundamental para brindar confianza en la gestión de los datos personales de la empresa. Se trata también de una obligación legal en materia de protección de datos personales: en 2022, casi un tercio de las sanciones impuestas por la CNIL fueron por incumplimiento de esta obligación. explicar el regulador.

Índice
  1. Cifrado de nube pública
  2. Datos seguros en la nube

Cifrado de nube pública

En su primera ficha práctica, en la que la CNIL especifica desde el principio que no pretende abordar el tema del reparto de responsabilidades entre proveedores y sus clientes en virtud del RGPD, la comisión destaca 4 escenarios de cifrado. En primer lugar, tres en función de los diferentes estados de los datos: en reposo (almacenamiento persistente en una memoria no volátil), en tránsito (transmitidos a través de una red de comunicación entre dos lugares de un mismo SI o entre dos SI) y en procesamiento ( acceso, consulta, actualización, consumo, análisis, etc.). Y un último centrado en el cifrado de extremo a extremo.

"Para garantizar la eficacia del cifrado, es necesario que las claves de cifrado se gestionen de forma que se garantice su confidencialidad y que los algoritmos de cifrado utilizados sean los más modernos", explica Cnil en particular. “El cifrado es una medida eficaz y esencial para reducir el riesgo de acceso ilegítimo a los datos. Es esencial en muchas situaciones comunes (flujo de datos que circulan por Internet, almacenamiento, estación de trabajo, etc.)”. A continuación, la autoridad arroja luz sobre las cuestiones relacionadas con la delegación de servicios de seguridad en la nube, pero también sobre los riesgos asociados, como el hecho de que un proveedor malintencionado podría acceder a los datos del cliente o ser él mismo víctima de intrusiones. “Desde el punto de vista de la protección de datos personales, las obligaciones de cada parte deben formalizarse en un contrato claro, tal y como prevé el artículo 28.3 del RGPD”, advierte. “El cliente también debe dominar las herramientas a su disposición para aprovechar al máximo las claves de cifrado. En particular, el cliente debe estar seguro de que: los servicios, software o programas que utilizan estas claves son correctos; estos servicios utilizan las claves correctas (es decir, las suyas y no las de otro cliente); los algoritmos de cifrado y descifrado estén implementados correctamente; estas herramientas están correctamente distribuidas y son autoverificables”.

La CNIL desglosa estos 4 escenarios de cifrado de forma tanto educativa como sintética. Para el primero (datos en reposo), se detallan cuatro niveles de bloqueo: disco, archivo, base de datos y aplicación, asociados a recomendaciones pero también a una visión resumida de los diferentes enfoques de cifrado en cuanto a su facilidad de implementación. trabajo, inversión y experiencia, nivel de acceso a las claves por parte del proveedor, transparencia del acceso a las claves, etc. En cuanto al segundo escenario (datos en tránsito), la CNIL advierte que “el cifrado de datos en tránsito no corresponde a la noción de cifrado de extremo a extremo: el servicio en la nube, que puede servir de intermediario entre dos entidades que deseen comunicarse, puede tener acceso a los datos en texto claro. Los protocolos más utilizados para el cifrado de comunicaciones son TLS, SSH, IPSec y MACSEC. En cuanto al tercer escenario (datos en procesamiento), la comisión explica que “si los datos no se cifran durante el procesamiento por parte del servicio (que suele ser el caso de los servicios SaaS), entonces el cifrado en reposo y/o en tránsito por parte del proveedor no constituyen medidas técnicas adicionales efectivas en cuanto al acceso por parte del proveedor, ya que éste debe tener acceso a los datos en forma clara cuando el servicio realiza el tratamiento. Por último, en cuanto al cifrado en la nube de extremo a extremo, el regulador advierte que el cifrado por sí solo de datos en tránsito no puede considerarse cifrado de extremo a extremo, a menos que el proveedor sea el único destinatario de los datos intercambiados. Y también que la combinación de bloqueo de datos en tránsito con cifrado de datos en reposo no puede considerarse cifrado de extremo a extremo si, en un punto determinado de la cadena de transmisión, se produce una ruptura del cifrado, permitiendo al proveedor acceder a los datos. en claro.

Datos seguros en la nube

En su segunda ficha práctica, la CNIL analiza las herramientas y servicios utilizados para garantizar la seguridad pero también el rendimiento de los servicios web: anti DDoS, WAF, CDN y balanceador de carga. Y aprovecha para advertir que “es probable que estas soluciones procesen datos personales y creen riesgos para los derechos y libertades de las personas”. En particular, direcciones IP y/o MAC, marcas de tiempo, geolocalización y tamaños de paquetes relacionados con indicadores de compromiso, o incluso paquetes que pasan a través de la red y que no están cifrados.

“Para un cliente que utiliza un proveedor de computación en la nube, se deben tener en cuenta las herramientas de seguridad y rendimiento al analizar posibles transferencias y accesos. Por tanto, es fundamental obtener del proveedor del servicio una descripción precisa de las herramientas y tecnologías aplicadas automáticamente a los servicios suscritos, solicitarle toda la información y datos personales que manejan dichas herramientas, con el fin de determinar las posibles transferencias y accesos que “Son engañosos”, afirma la comisión. De ahí la importancia de comprobar, cuando se utiliza un proveedor de servicios en la nube, las transferencias que se pueden realizar mediante herramientas de seguridad integradas de forma nativa con los servicios prestados. Por tanto, esto requiere plantearse varias preguntas, como identificar las transferencias de datos personales y definir un plan de acción en caso de transferencias fuera de la Unión Europea.

“Deben tenerse en cuenta otras consideraciones técnicas para evaluar las posibilidades de acceso por parte de autoridades de terceros países que no cumplen el RGPD”, indica también la CNIL. “Si las herramientas anti-DDoS, de equilibrio de carga (LB) y los cortafuegos de aplicaciones (WAF) se pueden colocar dentro de la UE para evitar transferencias fuera de la UE debido a su uso, el servicio de red de distribución de contenidos (CDN) tiene los mismos límites que el servicio tradicional. funcionamiento de Internet: dicha red está diseñada para ofrecer lo más cerca posible de cada internauta una copia del servicio/contenido solicitado. Si la copia se almacena en caché en un servidor fuera de la UE, es posible que los datos pasen de un servidor dentro de la UE a un servidor fuera de la UE. Una vez más, se impulsan buenas prácticas para garantizar que se establezca una configuración adecuada para limitar la circulación de datos fuera de la Unión Europea. Por ejemplo, limitándose a datos estáticos de contenido pesado (vídeos, imágenes, etc.) que no contengan información personal. También se abordan las cuestiones relacionadas con el descifrado de los flujos TLS y los riesgos asociados, en primer lugar, la confidencialidad de los datos descifrados, el aumento de la superficie de ataque, la introducción de un punto único de fallo, las posibilidades de transferencia fuera de la UE o el acceso por parte de autoridades de terceros países. “Para minimizar los riesgos asociados con el descifrado de los flujos TLS preservando al mismo tiempo el objetivo de seguridad inicialmente previsto al implementar los dispositivos de seguridad, se deben considerar soluciones adecuadas”, continúa la institución. Esto incluye un análisis en profundidad de los riesgos y beneficios del descifrado TLS.

Cuando sea necesario, se requiere la implementación de medidas de seguridad a nivel de los puntos de descifrado (implementación de estrictas medidas de control de acceso a los datos descifrados, autenticación fuerte para acceder a los datos descifrados, configuración de un bastión para descifrar, seudonimización de los datos, etc.). ). Pero eso no es todo, porque también se pueden activar medidas adicionales, como minimizar los datos sujetos a descifrado, conservar los datos "durante un período que no exceda el necesario para el objetivo de seguridad", sin olvidar información a los interesados: "a efectos de transparencia, las personas interesadas deben ser informadas de que sus datos pueden ser descifrados, accedidos y analizados por motivos de seguridad. Esta información debe cumplir con los requisitos de transparencia establecidos por el RGPD”.