Cumplimiento de la residencia de datos en 2 pasos

¿Necesito cambiar mis soluciones SaaS? Lograr el cumplimiento de la residencia de datos en 2 pasos

Stefano Tempesta Técnico 2 Comentarios

Supongamos que trabaja con clientes en países que aplican estrictos requisitos de residencia de datos. En ese caso, es posible que tenga que ajustar la forma en que su aplicación empresarial, como Salesforce o Dynamics 365, almacena sus datos para cumplir con la normativa correspondiente.

Por ejemplo, países como Rusia exigen que todas las empresas que operan en el país almacenen los datos personales de los ciudadanos rusos en servidores situados físicamente en Rusia. Según la ley, al recopilar datos personales, el operador está obligado a garantizar el registro, la sistematización, la acumulación, el almacenamiento, la aclaración (actualización, modificación) y la extracción de los datos personales de los ciudadanos rusos con el uso de bases de datos situadas en el territorio de la Federación Rusa. Este requisito es especialmente relevante para las organizaciones que utilizan servicios en la nube ubicados fuera de la Federación Rusa, como es el caso de Salesforce y Microsoft al ejecutar sus respectivas soluciones CRM SaaS.

Además, la ley equipara de hecho el despersonalización de los datos personales a la destrucción. Así, los datos personales procesados deben ser destruidos o anonimizados una vez alcanzados los objetivos del procesamiento o si la consecución de estos objetivos ya no es necesaria.

Esto plantea el problema de la entrega de PII (Información personal identificable) de manera que:

  1. Los datos se almacenan en un servidor situado físicamente en el país.
  2. Los datos se anonimizan en la aplicación del proveedor (Salesforce, Dynamics 365).

Veamos cómo Connecting Software puede ayudar con estos requisitos introduciendo una solución para transferir datos al almacenamiento local y cifrar/descifrar estos datos como parte del proceso.

Paso 1: Transferencia de datos

Debe almacenar cualquier dato personal introducido en una aplicación SaaS en un almacenamiento que se encuentre físicamente en el país (o en un territorio aprobado) para cumplir con las leyes de residencia de datos. Puede conseguirlo en dos pasos:

  1. Cuando se introducen datos en la aplicación SaaS, se comprueba si se trata de datos personales, es decir, si la información que contienen es suficiente para identificar a una persona. Si lo es, el los datos se transfieren a una base de datos situada en el país.
  2. Los datos son anónimosy se devuelve una clave de referencia a la aplicación para que la almacene en su propia base de datos.
Imagen

Paso 2: Anonimización de datos

Sin embargo, necesitamos mantener una copia en texto claro de estos valores anonimizados, algo así como una tabla de referencia que asocie un ID personal a su valor original. Esta tabla de referencia debe persistir en una base de datos situada dentro de las fronteras del país en cuestión.

Imagen

Sin embargo, necesitamos mantener una copia en texto claro de estos valores anonimizados, algo así como una tabla de referencia que asocie un ID personal a su valor original. Esta tabla de referencia debe persistir en una base de datos situada dentro de las fronteras del país en cuestión.

Imagen

Cumplimiento de la residencia de datos en 2 pasos

Así, los datos son interceptados por un complemento del navegador y transferidos a una base de datos protegida dentro del país. El proceso, implementado en Connect Bridge, pasa por un conjunto de conexiones entre la aplicación SaaS, las API para anonimizar esta información y el almacenamiento final. Los datos, obviamente, están protegidos con encriptación en tránsito y en reposo. Los datos simples se almacenan en la base de datos local, y la versión anonimizada de los mismos se almacena dentro de la aplicación SaaS.

El proceso inverso se aplica cuando se leen datos en una vista de la aplicación SaaS: el valor almacenado en el campo específico de la entidad en la aplicación SaaS se utiliza para buscar el valor real en la base de datos local, y se muestra en pantalla.


¿Quiere saber más? Te recomiendo estos artículos de nuestro blog:

Ana Neto - Asesora técnica, autora

Stefano Tempesta
CTO
Connecting Software

Autor:

CTO en Connecting Software, Director Regional de Microsoft y MVP

¿Tiene alguna pregunta o comentario sobre este artículo?

Me encantaría tener tu opinión, ¡deja una respuesta abajo!

Comentarios 2

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *