0% encontró este documento útil (0 votos)
2K vistas54 páginasNCh-ISO 27017-2016
Cargado por
alnunezvDerechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF o lee en línea desde Scribd
0% encontró este documento útil (0 votos)
2K vistas54 páginasNCh-ISO 27017-2016
Cargado por
alnunezvDerechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF o lee en línea desde Scribd
NORMA | NCh
CHILENA ISO/IEC
27017
Primera edicién
2016.12.21
Tecnologia informatica — Técnicas de seguridad
— Cédigo de practica para los controles de
seguridad de la informacién basado en
ISO/IEC 27002 para los servicios en la nube
Information technology — Security techniques — Code of practice for
information security controls based on ISO/IEC 27002 for cloud services
ICs 35,040
Namero de referencia
CINSTITUTO NACIONAL, NCh-ISO/IEC 27017:2016
pS 46 paginas
INN 2016
NCh-ISO/EC 2701
DOCUMENTO PROTEGIDO POR COPYRIGHT
© 180 2016 - Todos los derechos reservados
@ INN 2016 - Para la adopcién nacional
Darachos de autor:
La presente Norma Chilena se encuentra protegida por derechos dé autor 0 copyright, por lo cual, no puede serreproducida
o utlizaca en cualquier forma o por cuelauier mecio, electrénico © macdnico, sin permiso escrito del INN. La publicacién en
Internet se encuentra prohibida y penada por la ley.
‘Se dela expresa constancla qua en caso de adquir algin documento en formato impreso, éste no puede ser copiado
fotocopia, digtalizacion o simileres) en cualquier forma, Belo ninguna circunstancia puede ser revendida. Asimismo, y
‘in perjuicio de lo indicade en el parrafo antorior, los docurnentos acquiridos on formato .pal, tiene autorizaca sélo una
impresin por archivo, para uso personel del Cliente. El Cliente ha commprado una sola licencia co usuario para guardar este
archivo en su computador personal, El uso compartide de estos archivos esté prohibido, sea que se materialce a través de
tenvios o transterencias por correo electrénico, copia en CD, publicacién en Intranet o Internet y similares.
Sitione alguna difcultad en relacién con las condiciones antes citadas, 0 si usted tiene alguna pregunta con respecto a los
derechos de autor, por favor contacts la siguiente dreccion:
Institute Nacional de Normalizacién - INN
Av Libertador Bernerdo O'Higgins 1449, Sertiago Downtown Torre 7, piso 18 + Santiago de Chile
Tal, 4 56 2 2448 85 00
Correo Elactednico info@inn.cl
Sitio Web wrwinn.cl
Publicado en Chile
(© 180 2016 - Todos los darachos reservados
ii @ INN 2016 - Para le adopcién nacional
NCh-ISO/IEG 27017:2016
Contenido Pagina
Preambulo,
Introduccion...
1 Alcance y campo de aplicacion.
2 Referencias normativas..
24. Recomendaciones Idénticas | normas.
2.2 Referencias Adicionales
3 Términos y defi
3.1 Términos defi
3.2 Abreviaciones..
4 Conceptos especificos del sector de nube...
44 Descripcién general
4,2 Relaciones con proveedores en servicios en la nube
4,3 Relaciones entre los clientes del servicio en la nube y los prestadores del
servicio en la nube
4.4 Gestidn de los riesgos de seguridad de la informacién en los servicios en la nube.
4,5 Estructura de esta norma..
5 Politicas de seguridad de la informacién.
5.1 Direccién de gestion para la seguridad de la informacisn ..
6 — Organizacién de la seguridad de la informacion ..
6.1 Organizacién interna.
62 spositivos méviles y teletrabajo.
Be Seguridad de recursos humano:
7.1 Antes del empleo.
7.2 Durante el empleo
7.3 Término y cambio de emple
8 Gesti6n de activos.
B41 Responsabilidad con los activos.
8.2 Clasificacién de informacién
9 Control de acceso
9.1 Requisitos de negocio del control de acceso
9.2 Gestion de acceso del usuario.
9.3 Responsabilidades del usuaric
9.4 Control de acceso a sistema y aplicaciones.
10 Criptografia...
10.1 Controles criptograficos.
ait Seguridad fisica y del entorno
11.1 Areas seguras..
11.2 Equipos
12 Seguridad en las operaciones.
12.1. Procedimientos y responsabilidades operacionales.
12.2 Proteccién de malware.
12.3 Respaldo
12.4 Registro y monitoreo
1©150 2016 - Todos los derechos reservados
INN 2076 - Para la adopeian nacional iit
Nch
ISONEC 27017:2016
12.5 Control de software operacional
12.6 Gestion de la vulnerabilidad técnica ..
42.7 Consideraciones de auditoria de los sistemas di
43 Seguridad de las comunicaciones
43.1 Gestién de la seguridad de la red
13.2 Transferencia de informacion
14 Adquisicién, desarrollo y mantencién del si
14.1. Requisitos de seguridad de los sistemas de informacion
14.2 Seguridad en los procesos de desarrollo y soporte...
14.3 Datos de prueba
15 Relaciones con los proveedores..
15.1. Seguridad de la informacién en las relaciones con los proveedores ....
15.2 Gestién de la entrega del servicio del proveedor
16 — Gestion de los incidentes de seguridad de la informacién
16.1 Gestion de los incidentes de seguridad de la informacién y mejoras.
17 Aspectos de seguridad de la informacion en la gestién de continuidad del negocit
17.1 Continuidad de la seguridad de la informacion
17.2 Redundancias.
18 Cumplimiento
18.1. Cumplimiento de los requisitos legales y contractuales.
18.2 Revisiones de seguridad de la informacién ..
BRBRBRRRRE
x
8
Anexos
Anexo A Conjunto del control extendido del servicio en la nube (Este anexo forma
una parte integral de esta norma)
‘Anexo B Referencias sobre los riesgos de seguridad de la informacién relacionados
con la computacién en nube (Este anexo no forma una parte integral de esta
norma)
Anexo C {informativo) Bibliograff
Anexo D {informativo) Justificacién de cambios editoriales..
Tablas
Tabla D.1 - Cambios editoriales.
© 180 2016 - Todos los derechos raservados
v INN 2076 - Para la adopeibn nacional
NCh-ISO/IEC 27017:2016
Preambulo
El Instituto Nacional de Normalizacién, INN, es el organismo que tiene a su cargo el estudio y
preparacién de las normas técnicas a nivel nacional. Es miembro de la INTERNATIONAL
ORGANIZATION FOR STANDARDIZATION (ISO) y de la COMISION PANAMERIGANA DE NORMAS
TECNICAS (COPANT), representando a Chile ante esos organismos.
Esta norma se estudié a través del Comité Técnico CLO1S Tecnologia de la informacion, para
entregar un conjunto de buenas practicas en cuanto a la seguridad de servicios en la nube y sirve
de complemento a la norma ISO 27002.
Esta norma es idéntica a la versién en inglés de la Norma Internacional ISOAEC 27017, Information
technology - Security techniques - Code of practice for information security controls based on
ISO/IEC 27002 for cloud services.
Para los propésitos de esta norma, se han realizado los cambios editoriales que se indican y
justifican en Anexo D.
La Nota Explicativa incluida en un recuadro en cléusula 2 Referencias normativas y en Anexo C,
Bibliografia, es un cambio editorial que se incluye con el propésito de informar la equivalencia de
las Normas Internacionales citadas en esta norma con las Normas Chilenas.
El Anexo A forma parte de la norma.
Los Anexos B, C, D no forman parte de la norma, sé insertan sdlo a titulo informativo.
Esta norma ha sido aprobada por el Consejo del Instituto Nacional de Normalizacién, en sesién
efectuada el 21 de diciembre de 2016.
Si bien se ha tomado todo el cuidado razonable en la preparacién y revisién de los documentos
normativos producto de la presente comercializacién, INN no garantiza que el contenido del
documento es actualizado 0 exacto 0 que el documento serd adecuado para los fines esperados
por el Cliente,
En la medida permitida por la legislacién aplicable, el INN no es responsable de ningtin dafio
directo, indirecto, punitivo, incidental, especial, consecuencial o cualquier dafio que surja o esté
conectaco con el uso 0 el uso indebido de este documento,
© 130 2016 - Todos los derechos reservados
(© INN 2016 - Para la adapcién nacional v
NCh-ISO/IEC 27017:2016
Introduccion
Las directrices contenidas dentro de esta norma son adicionales y complementan las directrices
entregadas en ISO/IEC 27002,
Especificamente, esta norma entrega directrices que apoyan la implementacién de controles de
seguridad de la informacién para los clientes del servicio en la nube y los prestadores del servicio
en la nube. Algunas directrices son para los clientes del servicio en la nube que implementan Ios
controles y, otras, son para los prestadores del servicio en la nube que apoyan la implementacién de
es0s controles. La seleccién de controles apropiados de seguridad de la informacién y ta aplicacion
de la implementacién de la guia provista, dependeré de una evaluacién de riesgo y de cualquier
requisite de seguridad de la informacién del tipo legal, contractual, normativo 0 de cualquier otro
requisito del sector espectfico de nube.
© 150 2016 - Todos le derechos reservados
vi {© INN 206 - Paras adopeién nacional
NORMA CHILENA NCh-ISONEC 27017:2016
Tecnologia informatica — Técnicas de seguridad — Codigo de practica
para los controles de seguridad de la informacién basado en
ISO/IEC 27002 para los servicios en la nube
4 Alcance y campo de aplicacion
Esta norma entrega directrices para el uso de los controles de seguridad de la informacién aplicables
alla entrega y uso de los servicios en la nube, ya que proporciona:
- Una guia de implementacién adicional para los controles pertinentes especificados en ISO/IEC 27002.
- Controles adicionales con la guia de implementacién que se relacionan especificamente con los
servicios en la nube.
Esta norma entrega controles y una guia de implementacién tanto para los prestadores del servicio
‘en la nube como para los clientes del servicio en la nube.
2 Referencias normativas
Las siguientes Recomendaciones y normas incluyen disposiciones que, por medio de las
referencias en este texto, constituyen las disposiciones de esta norma. Al momento de la
publicacién, las ediciones indicadas eran vélidas. Todas las Recomendaciones y normas estén
sujetas a revisién y se invita a los participantes de los acuerdos basados en esta norma a
investigar la posibilidad de aplicar la edicién més reciente de las recomendaciones y normas
mencionados abajo. Los miembros de IEC ¢ ISO mantienen los registros de las normas que son
validos actualmente. El Consejo de Normalizacién de Telecomunicaciones de ITU mantiene una
lista de las Recomendaciones ITU-T que son validas actualmente.
2.1 Recomendaciones Idénticas | normas
- Recomendacién ITU-T Y.3600 (vigente) | ISO/TEC 17788: (vigente), Information technology ~
Cloud computing ~ Overview and vocabulary.
- Recomendacién ITU-T ¥.8602 (vigente) | ISOMEC 17789: (vigente), Information technology ~
Cloud computing — Reference architecture.
2.2 Referencias Adicionales
- ISO/EC 27000: (vigente), Information technology ~ Security techniques - Information security
management systems ~ Overview and vocabulary.
- ISOMEC 27002:2013, Information technology ~ Security techniques - Code of practice for
information security controls.
© 180 2016- Todos los derechos reservados
INN 2076 - Para la adopeién nacional 1
NCh-ISO/IEC 27017:2016
NOTA EXPLICATIVA NACIONAL
La equivalencla de las Normas Internacionales sefialadas anteriormente con Norma Chilena, y su grado de
correspondencia es el siguiente:
Norma Internacional ‘Norma nacional Grado de correspondencia
ISOTES 17788 NOFISO 17788:2015, La Norma Ghilena NOn-ISO 17788-2075 es una adopcion
déntica de ta versi6n en inglés de la Norma internacional
ISONEC 17788:2014,
ISO/TES 17789 NOn-ISO 1789:2015 {a Norma Ghilena NGh-iSO 17789-2075 es una adopein|
déntica de la versién en inglés de la Norma Internacional
[sono 17789:2014,
ISOMEC 27060 NOF-ISO 27000:2014 La Nowra Chilena NOF-ISO 27000-2074 es una adopcién|
idéntica de la versién en inglés de ta Norma Internacional
|SONEC 27000:2014 que anuia y reemplaza a la Normal
_____|intemacional isonec 27000:2008. oe
ISONEC 27002-2018 NOhISO 27002:2013 |[La Norma Crilena NCh-IS0 27002:201S es una adopeién|
Inéntica de la version en inglés de la Norma Internacional
ISONeC 27002:2019 (8.
3 Términos y definiciones
3.1. Términos definidos en otras partes
Para los propésites de esta norma, aplican los términos y definiciones entregados en ISO/IEC 27000,
Rec, ITU-T Y.3800 | ISOMEC 17788, Rec. ITU-T ¥.3502 | ISO/IEC 17789 y las definiciones siguientes:
3.1.4 El término siguiente se define en ISO 19440:
— capacidad: Cualidad de ser capaz de desempefiar una actividad dada.
8.1.2 Los términos siguientes se definen en ISO/IEC 2704
— Filtracién dela informacién: Compromiso de seguridad que conduce ala destruccién accidental
© ilicita, pérdida, alteracién, revelacién no autorizada de, 0 acceso a los datos protegidos
transmitidos, almacenados 0 de alguna otra manera, procesados.
— Tenencia miitiple segura: Tipo de arrendamiento miitiple que utiliza controles de seguridad
para proteger explicitamente de la fltracién de datos y entrega una validacién de estos controles
ara una gobernanza apropiada.
NOTA1 La tenencia miltiple existe cuando el perfil de riesgo de un arrendatario individual no es mayor de lo que
seria en un entorno dedicado, de arrendamiento individual
NOTA2 — En entornos muy seguros, incluso la identidad de los inquilinos se mantiene en secrete.
3.1.3 Los siguientes términos se definen en ISO-IEC 17203:
= Maquina virtual: El entorno completo que apoya la ejecucién del software huésped.
NOTA Una maquina virtual es una encensulacién completa del hardware virtual, discos virtuales y de los metadatos
asociados con él. Las maquinas virtuales permiten la multiplexacién de la maquina fisica subyacente a través de una
capa de software lamada hipervisor.
(© 150 2016 - Todos los derechos reservados
2 INN 2076 - Paral adopeién nacional
NCh-ISO/IEC 27017:2016
3.2 Abreviaciones
Para los propésitos de esta norma, aplican las siguientes abreviaciones:
laa Infraestructura como Servicio (Infraestructure as a Service)
PaaS Plataforma como Servicio (Platform as a Service)
Pll Informacién Personalmente Identificable (Personally Identifiable Information)
SaaS Software como Servicio (Software as a Service)
SLA Acuerdo de Servicio de Nivel (Service Level Agreement)
VM — Maquina Virtual (Virtual Machine)
4 Conceptos especificos del sector de nube
4.1. Descripcién general
El uso de la computacién en la nube ha cambiado la forma en que las organizaciones evalitan y
mitigan los riesgos de la saguridad de la informacién, debido a los cambios importantes sobre
cémo los recursos de la computacién son disefiados, operados y controlados técnicamente.
Esta norma entrega una guia de implementacién adicional especifica de la nube basada en
ISO/EC 27002 y entrega controles adicionales para abordar las amenazas espeoificas de seguridad
de la informacién en la nube y las consideraciones de riesgo.
Los usuarios de esta norma deberian consultar las cldusulas 5 a la 18 en ISO/IEC 27002 para
los controles, gula de implementacién y otra informacién. Debico a ia aplicabilidad general de
ISO/EC 27002, muchos de los controles, guia de implementacién y otra informacién, aplica tanto
a los entornos de computacién general y de la nube de una organizacién. Por ejemplo, "6.1.2
Segregacién de las tareas” de ISO/IEC 27002 entrega un control que puede ser aplicado tanto si
la organizacién se esta Gesempefiando como un prestador del servicio en la nubs o no. Ademés,
un cliente del servicio en la nube puede obtener los requisites para la segregacién de tareas en
el entorno de la nube del mismo control, por ejemplo, segregando a los administradores y a los
usuarios del servicio en la nube de los clientes del mismo tipo de servicio.
Como una extensién de ISOMEC 27002, esta norma entrega ademas controles especificos del
servicio en la nube, guia de implementacién y otra informacién (ver 4.5) que pretenden mitigar los
riesgos que acompafian las caracteristicas técnicas y operacionales de los servicios en la nube
(ver Anexo 8). Los olientes y los prestadores del servicio en la nube pueden consultar la
ISO/EG 27002 y esta norma para seleccionar los controles con la guia de implementacién y afiadir
ottos controles si es necesario. Este proceso se puede realizar ejecutando una evaluacién de riesgo
de la seguridad de la informacién y un tratamiento de riesgo en el entorno organizacional y de negocio
donde se usan o se proven los servicios en la nubs (ver 4.4).
4.2. Relaciones con proveedores en servicios en la nube
La cléusula 15 de ISO/IEC 27002 “Relaciones con proveedores” entrega controles, una guia de
implementacién y otra informacién, para gestionar la seguridad de la informaci6n en las relaciones
con los proveedores. La entrega y el uso de servicios en la nube es un tipo de relacién con un
proveedor, donde al cliente del servicio en la nube es un comprador y el prestador del servicio en
la nube es un proveedor. Por Io tanto, la cldusula aplica a los clientes del servicio en la nube y a los
prestadores del servicio en la nube.
© 180 2016- Todos les derechos reservados
‘@INN 2016 - Para le adogcion nscionel 3
NCh-ISO/IEC 2701
1016
Los clientes y los prestadores del servicio en la nube, también pueden formar una cadena de
abastecimienio. Suponga que un prestador del servicio en la nube entrega un servicio de tio de
capacidades de infraestructura. Ademés, otro prestador del servicio en la nube puede entregar un
servicio del tipo de capacidades de aplicacién. En este caso, el segundo prestador del servicio en
la nube es un cliente del servicio en la nube con respecto al primero y un prestador del servicio en
fa nube con respecto al cliente del servicio en la nube que usa su servicio. Este ejemplo ilustra el
caso donde esta norma aplica a una organizacién tanto en su calidad de cliente del servicio en la
nube como de prestador del servicio en la nube. Debido a que los clientes y los prestadores del
servicio en la nube forman una cadena de suministro a través del disefio y la implementaci6n
del (de los) servicio(s), aplica “15.1.3 Cadena de suministro de tecnologias de la informacion y
comunicacién” de ISO/IEC 27002"
La Norma Internacional de multiples partes ISO/MEC 27036, “Information security for supplier
relationships”, entrega una guia detallada sobre la seguridad de la informacién en relaciones de
proveedores con el comprador y el proveedor de productos y servicios.
La Parte 4 de ISO/IEC 27036 aborda directamente la seguridad de servicios en la nube en relaciones
con proveedores. Esta norma también es aplicable a los clientes del servicio en la nube como
compradores y los prestadores del servicio en la nube como proveedores.
4.3. Relaciones entre los clientes del servicio en la nube y los prestadores del servicio
enlanube
En el entorno de la computacién en la nube, un servicio en la nube almacena, transmite y procesa
los datos del cliente del servicio en la nube. Par fo tanto, los procesos de negocio de un cliente det
servicio en la nube pueden depender de la seguridad de la informacién del servicio en la nube. Sin el
control suficiente sobre el servicio en la nube, el cliente del servicio en la nube puede necesitar tomar
precauciones extra respecto de sus practicas de seguridad de la informacién.
Antes de entrar en la relacién con un proveedor, el cliente necesita seleccionar un servicio en la nube,
‘tomando en cuenta las brechas posibles entre los requisites de seguridad de la informacion del cliente
de servicio en la nube y las capacidades de seguridad de la informacién ofrecidas por el servicio. Una
vez que se selecciona un servicio en la nube, el cliente del servicio en la nube deberia manejar el uso
del servicio en la nube de tal forma de satisfacer sus requisitos de seguridad de la informacién. En
esta relacién, el prestador del servicio en la nube deberia entregar la informacién y el soporte técnico
que son necesarios para satisfacer los requisites de seguridad de la informacion del cliente. Cuando
los controles de seguridad de la informacién que entrega el prestador del servicio en la nube estén
preestablecidos y no pueden ser camibiados por el cliente del servicio en la nube, el cliente del servicio
en la nube puede necesitar implementar controles adicionales propios para mitigar los riesgos.
4.4. Gestion de los riesgos de seguridad de Ia informacién en los servicios en la nube
‘Tanto los clientes del servicio en la nube como los prestadores del servicio en la nube deberian tener
a disposicién los procesos de gestién de riesgo de la informacién. A ellos se les aconseja consultar la
norma ISO/IEC 27001 para los requisitos de aplicar la gestién de riesgo en sus sistemas de gestién de
seguridad de la informacién y consultar la norma ISOEC 27005 para obtener una guia més detallada
sobre la gestion de riesgo de la seguridad de le informacién. La norma ISO $1000, a la cual se ajustan
las normas ISO/IEC 27001 y la ISO/EC 27008, también puede ayudar en la comprensién general de
la gestién de riesgo,
180.2076 - Tacos le derasres reservados
4 1 INN 206 - Para la acopeién nacional
NCh-ISO/EG 27017:2016
En contraste con la aplicabilidad general de los procesos de gestién de riesgo de seguridad de la
informacién, la computacion en la nube tiene sus propias fuentes de riesgo, incluyendo las amenazas
y vulnerabilidades, que derivan de sus caracteristicas, por ejemplo, la interconexién, adaptabilidad y
elasticidad del sistema, intercambio de recursos, aprovisionamiento autogestionado, administracion a
padido, aprovisionamiento del servicio interjurisdiccional y la visibiidad limitada en fa implementacién
de los controles. El anexo B entrega referencias que dan informacién sobre estas fuentes de riesgo y
riesgos asociados a la entrega y uso de servicios en la nube.
La guia de implementacién y de control se disponen en la cléusula 5 a 18 Anexo A de esta norma, y
aborda la fuente del riesgo especifico del servicio en la nube y los riesgos.
4.5. Estructura de esta norma
Esta norma esté estructurada en un formato similar a la norma ISO/IEC 27002, Esta norma incluye las
clausulas 5 a la 18 de ISO/IEC 27002 estableciendo la aplicabilicad de sus textos en cada cldusula y
parrafo.
Cuando los objetivos y los controles especificados en ISO/IEC 27002 son aplicables sin necesidad de
cualquier otra informacién adicional, solo se entrega una referencia a ISOMEC 27002.
Cuando se necesita un objetivo con controles, 0 un control bajo un objetive de ISO/IEC 27002,
ademas de ios indicados en ISO/IEC 27002, se entrega un Anexo normative A: Conjunto de control
‘extendide del servicio en la nube. Cuando un control de ISO/IEC 27002 0 Anexo A de esta norma
precisa de una guia de implementacién especifica adicional del servicio en la nube relacionada con
el control, se entrega bajo el subtitulo “Guia de implementaci6n para servicios en la nube”. La guia se
‘entrega en uno de los dos tipos siguientes:
El tipo 1 se usa cuando hay una guia individual para el cliente del servicio en la nube y para el
prestador del servicio en la nube.
El tipo 2 se usa cuando a guia es la misma tanto para el cliente como para el prestador del servicio
en la nube.
Tipo 1
Cliente del servicio en la nube. Prestador del servicio en la nube
Tipo 2
Cliente del servicio en la nube Prestador del servicio en la nube
Lainformacién adicional que puede ser necesario considerar, se entrega bajo el subtitulo “Informacién
adicional para servicios en la nube”.
(© 150 2016 - Todos los derechos reservados
INN 2016 - Pave le adopclén nacional 5
NCh-ISO/EC 2701
5 Politicas de seguridad de la informacion
5.1 Direccién de gestion para la seguridad de la informacién
Aplica el objetivo especificado en ISO/IEC 27002, 5.
5.1.1 Politicas para la seguridad de la informacién
Aplican la guia de control §.1.1, la guia de implementacién asociadas y otra informacién especificada
en ISO/IEC 27002, También aplica la siguiente guia sectorial.
Guia de implementacién de los servicios en la nube
Cliente del servicio en fa nube
Prestador del servicio en la nube
Se deberia definir una politica de seguridad de la
informacién para la computacién en la nube como una
poltica de tama espectico del cliente del servicio en la
ube.
Lapolitica de seguridad del clente del servicio en la nube
para ia computacién en la nube deberia ser consistente
‘con los niveles aceptables de riesgo de seguridad de la
informacion que tien la organizacién para su informacion
yotros actives.
Cuando se define la politica de seguridad de lainformacion
para la computacién en la nube, ol cliente del servicio en
la nube deberia tomar en cuenta o siguiente:
= Le Informacién almacenada en el entorno de la
Computacién en la nube puede estar sujeta al acceso y
‘gestion por parte del prestador del servicio en la nube.
= Los actives pueden ser mantenides en e! entorno de
la computacién en la nube, por ejemplo, programas de
aplicacién,
~ Los procesos se pueden ejecutar sobre una tenencia
rmltiple, servicio en la nube virualizado.
= Los usuarios del servicio en la nube y el entorno en ef
‘que allos usan el servicio en la nubs.
~ Los administradores del servicio en i nube del cliente,
{que tienen acceso privlegiade.
— Las ubicaciones geogréficas de tas organizaciones y
las paises del prestador del servicio en la nube donde
