Sysdig
Learn Cloud Native

Sign up to receive our newsletter

Guía de cumplimiento del GDPR para containers y la nube

Si ha intervenido de algún modo en el diseño o la gestión de entornos de nube durante los últimos años, probablemente ya esté familiarizado con el Reglamento General de Protección de Datos(GDPR). El GDPR comenzó a aplicarse en 2018 y es uno de los principales marcos de cumplimiento más recientes. Eso hace que se haya elaborado especialmente pensando en la computación en la nube, a diferencia de otros marcos de cumplimiento más antiguos (como HIPAA y PCI DSS).

El GDPR no impide que las empresas ejecuten workloads en la nube, pero establece una serie de normas que muchas organizaciones deben seguir para alojar aplicaciones o datos en la nube. En este artículo explicamos qué significa el GDPR para la computación en la nube, qué empresas deben cumplir sus normas y cómo proteger los entornos en la nube de manera que promuevan el cumplimiento del GDPR.

¿Qué es el GDPR?

El GDPR es un reglamento de la Unión Europea destinado a proteger los derechos de privacidad digital. Regula la forma en que las empresas conservan y tratan lo que denomina “datos personales”, que se definen en el artículo 4 como:

Toda información sobre una persona física identificada o identificable (“el interesado”); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

¿Dónde se aplica el GDPR?

Aunque el GDPR es un reglamento de la Unión Europea, tiene amplias implicaciones para las empresas de todo el mundo.

Esto se debe a que el GDPR se aplica a cualquier organización que recoja o trate los datos personales de residentes de la UE, con independencia de que la propia organización tenga su sede fuera de la UE y no utilice la infraestructura de la UE para conservar o tratar dichos datos personales. Si su sitio web está alojado en un servidor de California o su aplicación SaaS se ejecuta desde un centro de datos de Japón, puede estar sujeto al GDPR si los residentes de la UE utilizan su sitio o aplicación aunque su empresa no tenga presencia directa en la UE.

Tenga en cuenta también que, a diferencia de algunos marcos de cumplimiento, el GDPR no prevé exenciones para las pequeñas organizaciones y se aplica a todas las entidades independientemente de su tamaño. Aunque simplifica ciertos procedimientos de cumplimiento para empresas con menos de 250 empleados, en realidad no las exime de ninguno de los requisitos básicos del GDPR.

¿Cuáles son los requisitos del GDPR?

El texto completo del GDPR es bastante largo. Pero sus puntos clave, que se resumen en el artículo 5, se reducen a siete principios que las organizaciones deben aplicar para el tratamiento y la conservación de los datos personales:

  • Licitud, lealtad y transparencia: Las organizaciones deben ser transparentes con respecto al uso que dan a los datos personales y deben gestionarlos de la manera que el GDPR considere razonable con arreglo a lo establecido en la ley.
  • Limitación de la finalidad: Las organizaciones deben utilizar los datos para fines específicos y limitados; no pueden recoger datos personales y conservarlos indefinidamente sin motivo, por ejemplo.
  • Minimización de datos: Las organizaciones deben limitar la recogida de datos personales a lo necesario para alcanzar sus objetivos comerciales.
  • Exactitud: Las organizaciones deben esforzarse por garantizar que los datos personales que recogen y conservan sean exactos, y deben dar a los consumidores la posibilidad de corregir los datos inexactos.
  • Limitación del plazo de conservación: Las organizaciones no deben conservar los datos personales durante más tiempo del necesario.
  • Integridad y confidencialidad (seguridad): Las organizaciones deben aplicar medidas de seguridad razonables para evitar el acceso no autorizado o abusivo a los datos personales.
  • Responsabilidad proactiva: Las organizaciones deben ser capaces de demostrar el cumplimiento de los principios del GDPR.

Aunque estos principios definen la finalidad del GDPR, el propio GDPR no es muy específico sobre cómo deben aplicarse los principios. Por ejemplo, no establece exactamente cuánto tiempo pueden conservar los datos las organizaciones, sino que simplemente aplica un principio de limitaciones razonables de conservación. Tampoco especifica exactamente cómo proteger los entornos que contienen datos sensibles; solo establece que las organizaciones deben tomar medidas razonables para protegerlos.

Así pues, en gran parte el GDPR deja en manos de las organizaciones la determinación de cómo llevar a la práctica sus principios. Por lo tanto, las mejores prácticas para el cumplimiento del GDPR variarán significativamente de una empresa a otra en función de los tipos de workloads que ejecuten. 

¿Cuáles son las consecuencias del incumplimiento del GDPR?

El GDPR es bastante claro en cuanto a las multas por incumplimiento. Estas pueden ascender a un máximo de 20 millones de euros o el 4 % de los ingresos anuales de una entidad, optándose por la de mayor cuantía. Hay que señalar que las multas se imponen por infracción, lo que significa que una empresa podría terminar pagando múltiplos de estas cifras si los reguladores la encuentran culpable de varias infracciones de cumplimiento.

No obstante, las multas de cumplimiento del GDPR se evalúan en función de la gravedad de la infracción, por lo que es posible que se impongan sanciones más bajas. Dado que el GDPR todavía es relativamente nuevo, hasta la fecha ha habido pocos casos de aplicación que demuestren cuánto puede costar en la práctica su incumplimiento en diferentes tipos de circunstancias. Sin embargo, ya se han impuesto algunas sanciones importantes, entre las que destaca la multa de 636 millones de euros a Amazon .

Mejores prácticas de cumplimiento del GDPR en la nube

Puesto que el GDPR no es muy específico en cuanto a la aplicación de sus principios, no existen reglas rígidas sobre cómo diseñar y gestionar un entorno en la nube que cumpla con el GDPR. Pro sí hay algunas mejores prácticas estándar que deben seguirse.

Utilizar una nube que cumpla con el GDPR

Antes que nada, asegúrese de que su proveedor de nube cumple con los requisitos del GDPR cuando gestiona su propia infraestructura. Todas las principales nubes prometen el cumplimiento del GDPR para la mayoría de sus servicios, por lo que esto no debería ser un problema, aunque es posible que desee investigar por su cuenta para determinar si el proveedor ha tenido problemas de cumplimiento del GDPR en el pasado.

Anonimizar los datos

Aunque la anonimización de los datos no garantiza que los datos personales no queden expuestos a un acceso no autorizado, anonimizar los datos que almacene o procese en la nube es una práctica recomendada para mitigar el riesgo de problemas de cumplimiento del GDPR.

Utilizar políticas de ciclo de vida de los datos en la nube

La mayoría de las nubes públicas proporcionan herramientas de gestión del ciclo de vida de los datos que pueden, entre otras cosas, eliminar automáticamente los datos después de un tiempo determinado. Considere el uso de estas herramientas para ayudar a implementar el principio de limitación del plazo de conservación del GDPR sin tener que depender de la eliminación manual de datos.

Cifrar los datos en la nube

Cifrar los cubos de almacenamiento en la nube, las bases de datos y otras ubicaciones de almacenamiento es otra de las mejores prácticas para ayudar a mitigar el riesgo de que los datos personales queden expuestos. También es aconsejable que cifre las conexiones de red que transfieran datos sensibles y que minimice la transferencia de datos sensibles dentro de su entorno de nube o entre la nube y ubicaciones externas.

Etiquetar y clasificar los recursos de la nube

Utilice los sistemas de etiquetas de su proveedor de nube para clasificar y organizar los recursos de la nube. Aunque el hecho de no utilizar etiquetas no es en sí mismo un problema de cumplimiento, las etiquetas pueden reducir el riesgo de que se almacenen o procesen accidentalmente datos sensibles en algún lugar de su entorno de nube sin que se dé cuenta, un riesgo que puede suponer un verdadero problema en entornos de nube a gran escala compartidos por varios usuarios o equipos.

Aplicar controles de acceso a la nube

Utilice la IAM de su proveedor de nube para restringir qué usuarios, aplicaciones y servicios pueden acceder a los datos personales en la nube. Igualmente importante es escanear automáticamente las configuraciones de IAM para detectar descuidos que puedan dar lugar a un acceso no autorizado, como una regla de IAM que permita a cualquier persona en Internet ver datos que no deberían ser públicos.

Cumplimiento del GDPR para containers

Las prácticas anteriores se aplican a prácticamente cualquier tipo de workload basada en la nube. Sin embargo, hay algunas consideraciones adicionales sobre el cumplimiento del GDPR que deben tenerse en cuenta cuando se trabaja con entornos basados en containers.

Escaneo de imágenes de containers

El escaneo de imágenes de containers puede ayudarle a identificar malware, vulnerabilidades u otros riesgos que pueda haber en las imágenes de containers. Si ejecuta containers, el escaneo de imágenes es parte de los controles de seguridad recomendables que debe implementar para el cumplimiento del GDPR.

Registros de auditoría

Si utiliza Kubernetes, puede aprovechar los registros de auditoría de Kubernetes para detectar posibles problemas de seguridad en su entorno de containers. Los registros de auditoría pueden servir para demostrar la responsabilidad en el marco del GDPR. En este sentido, también puede esperarse de las organizaciones que implementen un control de seguridad básico.

Gestión de los datos de los containers

La gestión de los datos personales puede ser especialmente compleja cuando se trabaja con containers. En algunos casos, los datos personales pueden estar al principio en de los containers y posteriormente ser trasladados a una ubicación externa, como un volumen de almacenamiento de Kubernetes. Es importante que se asegure de cifrar los datos personales a medida que se mueven por todas las capas de su infraestructura de containers. Asimismo, debe asegurarse de cifrar y proteger las conexiones de red entre los containers y los microservicios utilizando herramientas como, por ejemplo, las mallas de servicios.

Herramientas RBAC para containers

Si bien los marcos de IAM en la nube son útiles para aplicar controles de acceso genéricos en todo el entorno de nube, carecen de la granularidad y los matices de herramientas como RBAC de Kubernetes y los contextos de seguridad a la hora de proteger los containers. Aproveche cualquier herramienta de control de acceso específica para containers que esté disponible en su entorno para favorecer el cumplimiento del GDPR para containers.

Conclusión

Aunque el GDPR tiene importantes implicaciones para la forma en que las organizaciones de todo el mundo utilizan la nube y los containers, cumplir con sus normas no es tan difícil. Para ello, es necesario conocer primero los principios fundamentales de cumplimiento y seguridad del GDPR y luego determinar qué herramientas y prácticas puede implementar en su entorno para cumplir con los requisitos del GDPR.