Su objetivo primordial es aumentar la transparencia en la relación entre cliente y proveedor de servicios de comunicación como elemento básico de confianza entre las partes, ese el eje central que guía las recomendaciones que ofrece el documento. Estas recomendaciones podrían también ser de aplicación a los modelos más tradicionales de externalización de servicios, como el housing o el hosting.
El informe, denominado “Cloud Compliance Report”, aborda de manera amplia los aspectos fundamentales a tener en cuenta en la contratación de servicios en la nube, como por ejemplo aquellos relacionados con la gestión de la privacidad de los datos, las normativas y regulaciones exigibles y/o de carácter voluntario en España, las metodologías más elementales para la auditoría de servicios en la nube o las recomendaciones operacionales básicas relacionadas con la gestión de evidencias electrónicas en este tipo de entornos.
Algunas recomendaciones del informe apuntan a que los clientes deben informar a los proveedores sobre los tratamientos de datos de carácter personal que están realizando y los requisitos que sobre ellos existen y que éstos, a su vez, identifiquen e informen de las localizaciones en las que realizarán dichos tratamientos o de proveedores a los que ellos subcontraten parte de sus servicios.
Igualmente, plantea recomendaciones para ampliar los canales de comunicación en materia, por ejemplo, de valoración de riesgos, de incidencias, de variación de los niveles de riesgo, así como de coordinación. En relación a los factores de contratación de servicios en la nube, las recomendaciones también tienen la misma orientación, haciendo referencias a los Acuerdos de Nivel de Servicio como herramientas fundamentales para definir y monitorizar el servicio, pero también con aspectos como determinar la propiedad intelectual de los distintos elementos de la provisión del servicio, establecer mecanismos de resolución de conflictos o clarificar desde el inicio la jurisdicción aplicable.
En cuanto a los aspectos relacionados con la validación del cumplimiento (evidencias y auditoría), las recomendaciones se centran en los aspectos de coordinación (quién debe encargarse de qué tarea en aspectos como elaboración de métricas, realización de revisiones, etc.), así como en el establecimiento de un entorno confiable mediante la implantación de mecanismos como procedimientos de gestión de evidencias, medidas de protección de los registros de auditoría, planificación de auditorías, etc.
