Los datos regulados pueden exigir data centers certificados, BAAs y soporte de auditoría. Compruebe si el proveedor firma BAAs (ej. HIPAA) y tiene ISO 27001 o SOC 2. La residencia de datos (ej. GDPR) puede limitar dónde alojar.
Certificaciones y acuerdos
- BAA: Requerido para HIPAA cuando el proveedor maneja PHI. El proveedor debe firmar y cumplir salvaguardas HIPAA. No todos los hosts lo ofrecen.
- ISO 27001 / SOC 2: Indica que el proveedor tiene seguridad y procesos documentados. A menudo requerido o preferido para cargas empresariales y reguladas.
- Sector específico: PCI-DSS para datos de tarjeta; FedRAMP para gobierno US. Compruebe si el proveedor tiene las certificaciones de su sector.
Residencia de datos
- GDPR: Los datos personales de la UE pueden tener que permanecer en el EEE. Elija una región (ej. UE) y asegure que el proveedor se comprometa con ubicación y términos de procesamiento.
- Otras regulaciones: Algunos países exigen que los datos permanezcan en el país. Verifique que el proveedor tenga DCs en la jurisdicción requerida.
- Contratos: Los acuerdos de procesamiento de datos (DPA) y las cláusulas contractuales estándar (SCC) pueden ser requeridos.
Qué preguntar a los proveedores
- ¿Firman BAAs (HIPAA) o DPAs (GDPR)? ¿Qué certificaciones tienen (ISO 27001, SOC 2)?
- ¿Dónde se almacenan los datos? ¿Podemos restringir a una región o país?
- ¿Dan soporte a auditorías (evidencias, cuestionarios)? ¿Cuál es el proceso?
Resumen
Para datos regulados: compruebe BAAs/DPAs, ISO 27001 o SOC 2 y opciones de residencia. Elija un proveedor que se comprometa con sus requisitos de cumplimiento y soporte auditorías.
