OVHcloud y la soberanía de los datos

La soberanía de los datos en el cloud: un reto para todos los actores en Europa

La soberanía digital puede definirse como la capacidad de un Estado para poder controlar todos los recursos digitales, tanto desde un punto de vista económico como social y político, manteniéndolos a salvo de terceros e influencias externas. Así pues, este concepto hace referencia a la libertad de elección de los diferentes actores y a una menor dependencia con respecto a infraestructuras, plataformas o puntos de acceso a internet no europeos.

La soberanía de los datos, por su parte, amplía esta noción a las organizaciones y determina la capacidad de estas para proteger sus datos de posibles interferencias, principalmente extranjeras, y para actuar de forma independiente, especialmente en ámbitos estratégicos para su desarrollo. El cumplimiento de la legislación europea, que limita las posibilidades de transferencia de datos personales fuera de la Unión Europea, constituye una garantía adicional para la soberanía de estos datos.

A European Cloud OVHcloud

Actualmente vivimos inmersos en un contexto de competencia a escala mundial, con un crecimiento exponencial del volumen de datos sensibles y estratégicos utilizados en el cloud. Cada vez son más las organizaciones europeas conscientes de la importancia de la gobernanza de los sistemas informáticos y de los datos que procesan, así como de los riesgos que representan las acciones de inteligencia económica y de injerencia extraeuropea a través de dependencias no controladas con algunos de sus proveedores de servicios cloud. Esto plantea un riesgo tanto para la protección de datos como para la capacidad de crecimiento de grandes actores españoles o europeos, haciendo que resulte aún más difícil hacer frente a los competidores internacionales en el sector digital. Defender la soberanía de los datos es actuar al servicio de la protección y la libertad de elección de las administraciones, las empresas y los ciudadanos.

KPMG-livreblanc

El cloud europeo: principales retos para Europa y cinco posibles escenarios con un impacto significativo de aquí a 2027-2030

KPMG publicó en mayo de 2021 un libro blanco elaborado a partir de datos e información procedentes de una gran variedad de fuentes, incluyendo más de 250 interacciones con responsables públicos y privados europeos. Una de las conclusiones del estudio es que la migración al cloud se ha convertido en un paso obligado, y que la seguridad y la soberanía de los datos constituyen actualmente una de las principales preocupaciones para estos responsables. Además, el paradigma actual del mercado europeo del cloud ya no es sostenible y podemos identificar cinco escenarios con numerosos posibles beneficios.

¿Cómo garantiza OVHcloud el respeto de la soberanía de los datos de sus clientes?

 

En OVHcloud creemos que la capacidad para ejercer nuestra soberanía digital es la clave para garantizar la libertad de los usuarios de nuestros servicios. Nuestro objetivo es mantener el control de nuestro futuro, así como garantizar la seguridad del empleo y defender nuestros valores europeos. Estos son los retos de un cloud de confianza capaz de garantizar la protección de la soberanía de los datos estratégicos de los Estados, las empresas y los ciudadanos. En OVHcloud queremos mantenernos fieles a la promesa inicial de internet: convertir el universo digital en un espacio de libertad, autonomía e innovación colectiva.

Four Triangles

Un «pure player» francés del cloud, comprometido con el ecosistema digital europeo

Un cloud soberano es, ante todo, un cloud proporcionado por un proveedor que se compromete a no utilizar bajo ningún concepto los datos de sus clientes. Este compromiso es una parte intrínseca de la propuesta de valor de OVHcloud, un «pure player» y especialista del cloud que no realiza actividades en otros sectores que pudieran competir con nuestros propios clientes. En este sentido, OVHcloud se compromete a crear una solución de cloud de confianza para contribuir con la protección de la soberanía industrial.

OVHcloud se une a los esfuerzos realizados por los poderes públicos europeos y las asociaciones profesionales que defienden la soberanía digital en Europa. Así pues, como miembro fundador de la asociación CISPE (Cloud Infrastructure Services Providers in Europe) y del proyecto GAIA-X, la empresa colabora activamente con estas iniciativas europeas con el objetivo de garantizar la seguridad, la interoperabilidad, la transparencia y la confianza que caracterizan a un uso correcto de los datos. En 2020, OVHcloud lanzó el programa Open Trusted Cloud con el objetivo de crear un ecosistema de soluciones SaaS y PaaS en un cloud abierto, reversible y fiable, en colaboración con todos los actores del sector digital. El objetivo final de todas estas iniciativas es sacar el máximo partido a nuestros ecosistemas europeos y promover los círculos virtuosos.

 
Para empresas

Clientes europeos protegidos frente a las acciones de injerencia de autoridades extranjeras

OVHcloud adopta medidas técnicas y organizativas destinadas a proteger los datos alojados por sus clientes europeos en el seno de la Unión Europea frente a la injerencia de autoridades no europeas. Técnicamente, ninguna entidad o socio tercero de OVHcloud, localizado en un país tercero que no garantice un nivel de protección de los datos conforme al nivel vigente en la Unión Europea, tiene la posibilidad de operar ni, por lo tanto, de acceder a las infraestructuras de alojamiento de dichos datos.

Este es el caso, por ejemplo, de Estados Unidos, cuyo nivel de protección ya no se considera adecuado desde la invalidación del Privacy Shield por la sentencia Schrems II del Tribunal de Justicia de la Unión Europea del 16 de julio de 2020. De este modo, las entidades estadounidenses de OVHcloud no intervienen en el marco de los servicios proporcionados a los clientes europeos de OVHcloud ni tienen la posibilidad técnica de acceder a los datos alojados en los datacenters europeos de OVHcloud. Así pues, dichas entidades no tienen control alguno sobre los datos almacenados en estos centros de datos ni pueden responder de forma favorable a las solicitudes de comunicación de estos datos por parte de las autoridades de Estados Unidos.

Solo las entidades localizadas en la Unión Europea o en países cuyo nivel de protección haya sido objeto de una decisión de adecuación por parte de la Comisión Europea (Canadá, en particular) podrán, en las condiciones de servicio vigentes, participar en la ejecución de los servicios proporcionados a los clientes europeos de OVHcloud e intervenir técnicamente en las infraestructuras en las que estos clientes almacenan sus datos.

El pleno respeto de la legislación, las libertades y los derechos fundamentales europeos

Desde un punto de vista organizativo, OVHcloud es un grupo europeo en el que las entidades comerciales europeas, así como las entidades con capacidad para intervenir en las infraestructuras de alojamiento de OVHcloud situadas en la Unión Europea y utilizadas por sus clientes europeos, son competencia exclusiva de los Estados miembros de la Unión Europea o de aquellos Estados que hayan sido objeto de una decisión de adecuación por parte de la Comisión Europea. En efecto, dichas entidades están controladas por OVH Groupe SAS, una sociedad constituida con arreglo al derecho francés, sin relación de dependencia con ninguna entidad u organización sometida a la jurisdicción de Estados que no garantizan un nivel adecuado de protección de los datos.

Las autoridades terceras (gubernamentales, administrativas, judiciales o de otro tipo) pueden solicitar a la Unión Europea la comunicación de datos alojados por un cliente europeo de OVHcloud en un datacenter localizado en el seno de la Unión Europea. En este caso, OVHcloud tendrá plena capacidad para, de acuerdo con su política de tramitación de las solicitudes de las autoridades y con las disposiciones del artículo 48 del RGPD, oponerse a dichas solicitudes si estas no se realizan de conformidad con un acuerdo internacional, como un tratado de cooperación judicial vigente entre el país solicitante y el Estado o los Estados miembros de la Unión Europea en cuestión.

Además, para aquellos clientes que deseen que el tratamiento de los datos confiados a OVHcloud se realice exclusivamente en territorio europeo, OVHcloud pone en marcha una opción en la que solo se contempla la participación de entidades europeas en la ejecución del servicio, con exclusión de cualquier otra entidad, incluidas las localizadas en países terceros con un nivel de protección considerado como adecuado por la Comisión Europea.

HDS Certification OVHcloud

Cumplimiento de las normas de seguridad y los modelos de referencia soberanos más exigentes

OVHcloud no autoriza el acceso a los datos de los clientes, salvo que este último se realice a petición o con el consentimiento del cliente y, cuando sea necesario, en el marco de una intervención del equipo de soporte o de una operación de mantenimiento, por ejemplo. Además la empresa ofrece una trazabilidad completa de estas acciones, garantizando en todo momento la soberanía de los datos.

El visado de seguridad SecNumCloud, obtenido por OVHcloud a principios de 2021, ofrece a los clientes de los servicios cloud certificados la garantía de que disfrutan de soluciones cuyo nivel de seguridad y de confianza ha sido verificado por la ANSSI francesa (Agencia Nacional de Seguridad de los Sistemas de Información). Además, OVHcloud proporciona sus servicios cloud a las administraciones de Francia (UGAP), Reino Unido (G-Cloud), Italia (AgID) o incluso a las instituciones de la Comisión Europea (DPS 1 MC5). Asimismo, la empresa también colabora con los trabajos realizados por la Agencia de la Unión Europea para la Ciberseguridad (ENISA) para la certificación en materia de ciberseguridad de los servicios cloud.

Por último, OVHcloud también trabaja para ofrecer una respuesta a las necesidades y exigencias de los operadores de vital importancia y de servicios esenciales que, en el marco de sus procedimientos de homologación, deben realizar análisis del riesgo y adoptar numerosas normas de seguridad. La documentación de OVHcloud, basada en la aplicación de diferentes normas y modelos de referencia (ISO 27001, ISO 2701, SecNumCloud, HDS, SOC, CSA Star y PCI-DSS, entre otros), permite que los clientes realicen un análisis del riesgo gracias a un acceso totalmente transparente a las medidas y la organización establecidas por OVHcloud para garantizar la protección de sus datos.

Best Value Dedicated Servers

Un mayor control de la cadena de subcontratación y de las dependencias tecnológicas

Desde hace más de veinte años, OVHcloud desarrolla un modelo de actividad industrial integrado que le permite controlar toda su cadena de valor. Este modelo incluye la construcción y la gestión de los datacenters, el diseño de los servidores y racks informáticos en la fábrica de Croix (Hauts-de-France), así como el aprovechamiento de una red de fibra oscura. Este control logístico de la cadena de suministro permite garantizar la soberanía de los datos y de los diferentes servicios, y limitar la dependencia tecnológica con respecto a los subcontratistas y proveedores de OVHcloud. La capacidad de la empresa para impulsar el desarrollo de la actividad de sus clientes quedó demostrada durante la crisis sanitaria de 2020, cuando OVHcloud evitó la falta de stock y pudo seguir suministrando sus servicios, a diferencia de algunos competidores con mayor nivel de dependencia de sus proveedores.

OVHcloud también integra en sus productos tecnologías «open source», abiertas y reversibles, así como estándares de mercado. Estas plataformas, especialmente diseñadas para garantizar la soberanía de los datos de los clientes, son operadas de extremo a extremo por OVHcloud sin intervención de subcontratistas externos. Asimismo, la empresa se asegura de que los desarrolladores de software que diseñan los componentes tecnológicos de sus soluciones también ofrezcan esta garantía de soberanía.

Sin perjuicio de las condiciones particulares del servicio, OVHcloud garantiza que los socios que intervienen en el mantenimiento de la solución se comprometen a actuar únicamente desde Estados europeos o que posean un nivel de protección de datos equivalente al vigente en la Unión Europea, así como a respetar la legislación europea. El control completo y el alto nivel de integración de servicios terceros en sus productos permiten que OVHcloud pueda garantizar una mayor protección de la soberanía de los datos de sus clientes. El objetivo es avanzar hacia un cloud de confianza basado en el respeto de la soberanía de los datos tanto españoles como europeos.

¿Necesita ayuda o información?

Si lo desea, uno de nuestros asesores puede llamarle de forma gratuita