Manténgase seguro y recupérese rápidamente: 16 verificaciones de cumplimiento y seguridad que debe buscar en un proveedor de servicios en la nube

Existen innumerables beneficios para que los profesionales del derecho puedan trabajar y colaborar de forma remota en la nube, pero también es importante ser consciente de los desafíos de seguridad y las vulnerabilidades asociadas que vienen con la tecnología de la nube. Una violación de la seguridad o el incumplimiento de las pautas de cumplimiento específicas podría ponerlo a usted y a su equipo en riesgo de sufrir problemas legales y financieros importantes, sin mencionar el posible tiempo de inactividad y la pérdida de la confianza de sus clientes.

La buena noticia es que muchos proveedores de servicios en la nube de buena reputación ofrecen a sus usuarios la capacidad de confiar o "heredar" los controles integrados de seguridad y cumplimiento que ya existen dentro de la infraestructura de aplicaciones del proveedor. Para ayudarlo a usted y a su equipo legal a tomar la decisión correcta en cuanto a los proveedores de servicios en la nube, hemos identificado 16 estándares, certificaciones, informes de auditoría, reglamentaciones y atestaciones, así como leyes estadounidenses e internacionales, para buscar como indicadores que su trabajo con proveedores de servicios en la nube individuales es seguro y cumple con las normas. Cuantos más de estos "elementos de verificación" cumpla su proveedor, mejor posicionados estarán para tener controles de seguridad y cumplimiento para beneficiar y proteger a sus clientes de la nube, incluido su equipo legal.

16 Controles de cumplimiento y seguridad que debe buscar en un proveedor de servicios en la nube

Esta lista de verificaciones de cumplimiento y seguridad incluye la certificación internacional reconocida a nivel mundial. Organization para la estandarización (ISO) 27000 familia de estándares y controles, así como estándares internacionales basados en EE. UU. que no solo se requieren dentro de su estado o país original, sino que desde entonces se han reconocido más ampliamente como importantes puntos de referencia de seguridad.

1. ISO 27001 especifica los requisitos para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Seguridad de la Información (SGSI) dentro del contexto de la organization.
2. ISO 27017 proporciona orientación sobre los aspectos de seguridad de la información de la computación en la nube y los servicios en la nube, así como una guía de implementación adicional para los controles relevantes especificados en ISO/IEC 27002.
3. ISO27018 establece objetivos de control, controles y pautas comúnmente aceptados para implementar medidas para proteger la información de privacidad de identificación personal (PII) de acuerdo con los principios de privacidad en ISO/IEC 29100 para el entorno de computación en la nube pública.
4. ISO 27701 es una extensión de privacidad de ISO/IEC 27001 diseñada para mejorar el SGSI existente con requisitos adicionales para establecer, implementar, mantener y mejorar continuamente un Sistema de gestión de información de privacidad (PIMS). Además, los controles de ISO 27701 abordan muchos de los requisitos del Reglamento general de protección de datos (RGPD) de la UE, por lo que la certificación en los controles de ISO 27701 también se puede utilizar para validar de forma independiente el cumplimiento del RGPD.
5. Servicio Organization Controles (SOC) Los informes ayudan a las empresas a generar confianza en sus procesos y controles de prestación de servicios. Esto se logra mediante información detallada y garantías sobre la capacidad de un proveedor de servicios en la nube para cumplir con algunos o todos los Principios de confianza: seguridad, disponibilidad, privacidad, procesamiento, integridad y confidencialidad.
6. El estándar federal de procesamiento de información (FIPS) (140-3) especifica los requisitos de seguridad que deben cumplir los módulos criptográficos y es un estándar crítico cuando se trata de industrias altamente reguladas. Es importante tener en cuenta las diferencias entre FIPS 140-2 que cumple con el tamper resistente estándar y FIPS 140-3 que cumple con la manipulación más alta prueba estándar. Además, FIPS 140-2 solo aborda los requisitos de seguridad después de la finalización, pero FIPS 140-3 ahora evalúa los requisitos de seguridad en todas las etapas de la creación del módulo criptográfico: diseño, implementación y despliegue operativo final.
7. El Programa Federal de Gestión de Riesgos y Autorizaciones (FedRAMP) es un programa de certificación de todo el gobierno de EE. UU. que proporciona una enfoque estandarizado para la evaluación de seguridad, autorización y monitoreo continuo para productos y servicios en la nube suministrados a agencias gubernamentales, proveedores y clientes.
8. Reglamento de Administración de Exportaciones (EAR) son regulaciones de control de exportaciones a cargo de diferentes departamentos del gobierno de EE. UU., como el Departamento de Comercio de EE. UU., que administra EAR para regular la exportación de artículos de "doble uso", incluidos datos técnicos y asistencia técnica, que están diseñados para fines comerciales pero podría tener aplicaciones militares como computadoras, aviones y patógenos.
9. Suplemento de regulación de adquisiciones federales de defensa (DFARS) Los requisitos y regulaciones están destinados a garantizar la integridad de la información no clasificada controlada (CUI), o información confidencial que pertenece al gobierno de los EE. UU. que terceros, como proveedores, socios y asociaciones comerciales, pueden tener o usar.
10. La Ley Federal de Gestión de la Seguridad de la Información (FISMA) es la legislación estadounidense que define un marco de pautas y estándares de seguridad para proteger la información y las operaciones del gobierno.
11. La Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) define las protecciones de privacidad estandarizadas a nivel nacional para los registros médicos de los pacientes y otra información de salud proporcionada y administrada principalmente por planes de salud, médicos, hospitales y otros proveedores de atención médica en los EE. UU. Sin embargo, también se puede aplicar a los empleadores que ofrecen planes de salud grupales y cualquier empresa o individuo que brinde servicios a médicos, proveedores de atención médica y compañías de seguros.
12. Norma de la SEC 17a-4 se aplica a los agentes de bolsa de EE. UU. y otras partes relevantes que negocian valores o funcionan como corredores para comerciantes, incluidos bancos, sociedades de valores y empresas de corretaje de valores, y les exigen almacenar todos los registros comerciales durante un período no inferior a seis años en no- medios reescribibles e indelebles, estando los dos primeros años en un lugar de fácil acceso.
13. Las cláusulas modelo de la UE son cláusulas contractuales estandarizadas que se utilizan en los acuerdos entre los proveedores de servicios y sus clientes para garantizar que cualquier dato personal que salga del Espacio Económico Europeo se transfiera de conformidad con las leyes de protección de datos de la UE y cumpla con los requisitos del RGPD.
14. El Centro Australiano de Seguridad Cibernética (ACSC) La guía de seguridad en la nube informa a las entidades de la Commonwealth, los proveedores de servicios en la nube (CSP) y los evaluadores del Programa de asesores registrados de Infosec (IRAP) sobre cómo realizar una evaluación de seguridad integral de los CSP y sus servicios.
15. El Reglamento General de Protección de Datos (RGPD) regula cómo las empresas protegen los datos personales de los ciudadanos de la UE y se ha convertido en la ley de privacidad de referencia para muchos países.
16. La Ley de Privacidad del Consumidor de California (CCPA) es un estatuto estatal destinado a mejorar los derechos de privacidad y la protección del consumidor para los residentes del estado estadounidense de California.

Elija una solución en la nube que priorice la seguridad y el cumplimiento

La elección de trabajar con un proveedor de servicios en la nube que cumple con muchos de estos diferentes estándares y regulaciones lo posiciona para confiar o "heredar" los controles de seguridad y cumplimiento resultantes requeridos por esos estándares y leyes. Su organizationEl liderazgo de , su equipo legal y sus clientes pueden estar seguros de que sus datos están en manos seguras y capaces.

Como una solución de nube nativa diseñada pensando en los profesionales legales, NetDocuments le brinda a usted y a su equipo los estrictos controles de seguridad y cumplimiento más adecuados para el trabajo legal, al mismo tiempo que les permite trabajar y colaborar de manera fácil y eficiente.

Para obtener más información sobre cómo NetDocuments puede ayudarlo a cumplir con las obligaciones de cumplimiento y los mandatos de los clientes para proteger la información confidencial, contáctenos hoy al (866) 638-3627 o haga clic aquí para solicitar una demostración.

Lea el artículo original de David sobre este tema en la edición de verano 2022 de la International Legal Technology Association de Revista entre pares.