Guía CCN-STIC 823: Cláusulas y acuerdos de nivel de servicio

Este post proviene de esta fuente de noticias

El Centro Criptológico Nacional (CCN), ha publicado una Guía de Seguridad TIC, dentro de la serie de Guías CCN-STIC 800. Esta serie de guías establece las políticas y procedimientos adecuados para la implementación de las medidas contempladas en el Esquema Nacional de Seguridad.

Concretamente, esta nuevo documento constituye el Anexo I de la Guía CCN-STIC 823, donde se incluyen orientaciones para establecer cláusulas y acuerdos de nivel de servicio.

De esta forma, el CCN identifica las cláusulas que deben ser incluidas en un contrato con un proveedor de servicios externo a la organización. Los Acuerdos de Nivel de Servicio (SLA, en sus siglas en inglés) disponen el nivel de calidad mínimo que debe ser cumplido por el prestador. Esto es, recoge los periodos máximos durante los cuales el servicio puede no ser prestado; suponiendo penalizaciones en aquellos casos en que se sobrepasen tales límites.

Cláusulas

En cuanto a las cláusulas que se deben recoger, son las siguientes:

1. Conformidad con el Esquema Nacional de Seguridad (ENS).
2. Cláusulas de confidencialidad. La confidencialidad debe ser asegurada tanto en el proceso de contratación como durante la ejecución del contrato.
3. Legislación aplicable en materia de protección de datos. Tanto el Reglamento General de Protección de Datos (RGPD), como la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPGDD).
4. Declaración de ubicación. El proveedor del servicio facilitará la identificación de la ubicación de los sistemas de información.
5. Transferencia internacional de datos. Tan solo podrán ser realizadas en caso de que se cumplan con los requisitos del RGPD.
6. Servicio asociado a la verificación electrónica de identidad.
7. Tratamiento de datos de los tipos descritos en el artículo 46 bis de la Ley 40/2015. Hace referencia al tratamiento de datos relativos al censo electoral; padrones municipales de habitantes y otros padrones de población; datos fiscales relativos a impuestos propios o cedidos; y datos de usuarios de la Nación Sistema de Salud.
8. Reglamento de rescisión del contrato: Transferencia de tecnología. Se debe regular la transferencia de la información relativa al servicio una vez finaliza el contrato.
9. Gestión de copias de seguridad y restauración de datos. El proveedor debe contar con una política de copias de seguridad.
10. Gestión de la recuperación ante desastres (plan de continuidad). El proveedor del servicio debe contar con un plan de contingencia en caso de desastre.
11. Acuerdo de nivel de servicio estándar. Se detallarán el alcance de los servicios, el deber de comunicar incidencias y los niveles de servicio requeridos.

Observatorio de Privacidad y Derechos Digitales

• Una funcionaria víctima de corrupción demanda al Ayuntamiento de Barcelona por desprotegerla: “Me ningunearon”
• Tailandia toma medidas enérgicas contra los servicios de criptomonedas no registrados para hacer frente a la ciberdelincuencia
• El regulador alemán multa a Commerzbank por incumplimiento de la normativa contra el blanqueo de capitales
• La Comisión incoa un procedimiento contra TikTok en virtud de la Ley de Servicios Digitales en relación con el lanzamiento de TikTok Lite en Francia y España, y comunica su intención de suspender el programa de recompensas en la UE
• La CSSF multa a Fuchs & Associés Finance con 785.000 euros por infracciones de la lucha contra el blanqueo de capitales y la financiación del terrorismo
• Delincuentes y oligarcas en el punto de mira de la UE con un nuevo proyecto de ley contra el fraude en el fútbol