Por otra parte, la Guía CCN-STIC-823 es de aplicación en despliegues en nube "on premise". Me fijo en la mención a la auditoría:
No me queda claro si un despliegue en nube SARA es, en las consideraciones de esta guía, un despliegue "on premise" (no está en un CPD del organismo, pero sí en uno de la AGE), o si debe considerarse una nube pública, como las empresariales.77. Si la provisión de los servicios se realiza desde un sistema soportado por una nube privada “on premise”, donde la categoría sea ALTA, se requerirá que el servicio en la nube haya superado, con éxito, una auditoría de prueba de penetración (pentesting) por una tercera parte independiente para evaluar la madurez del servicio en materia de seguridad e identificar posibles vulnerabilidades existentes en el mismo.
En esta auditoría se comprobará la ausencia de vulnerabilidades públicas que permitan comprometer la información manejada o el servicio prestado.
Por último, el servicio de nube híbrida (nube SARA), que está en la declaración de servicios compartidos, es de uso obligado.
Y me pregunto:
- ¿Se da por descontada la certificación necesaria en el ENS para la nube SARA? ¿O se ha realizado dicha certificación? En la Relación de Entidades Certificadas del Sector Público (entiendo que es la lista donde acudir) no aparece.
- Caso de producirse un incidente de seguridad en un servicio prestado desde la nube SARA, ¿a quién corresponde la comunicación pertinente prevista en la ITS de Notificación de Incidentes de Seguridad?
(a mi juicio falta un verbo al comienzo del punto que he copiado, pero no lo he encontrado por ninguna parte)69. A este respecto debemos tener en cuenta, que al tratar datos de carácter personal, el CSP adquiere la condición de encargado del tratamiento y por tanto estará obligado al cumplimento de lo establecido en el artículo 28 Encargado del Tratamiento del RGPD, que establece la necesidad de que este tratamiento se rija por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable.
Dicho contrato o acto jurídico estipulará, en particular, que el encargado:
[...]
- La gestión de las violaciones de seguridad, alineado con lo establecido para la gestión de incidentes de seguridad. Regulación de la comunicación y/o notificación de brechas de seguridad, plazos, medios y evidencias.
De cara al examen, entiendo que no cabe plantearse estas cuestiones, y que el uso de nube SARA, por obligado, es pertinente si el supuesto lo permite, lo sugiere o lo indica expresamente. En cuanto al posible incidente de seguridad, igual es más prudente asumir que la responsabilidad de comunicación va a ser mía.