Cifrado de datos en sistemas de cloud público

Abstract

La finalidad de este trabajo es revisar qué opciones tiene una entidad financiera para migrar su infraestructura a sistemas de proveedores en la nube,pero siempre manteniendo o aumentando la seguridad del almacenamiento y del tratamiento de los datos. Actualmente el sector bancario está inmerso en un proceso de transformación digital que implica en algunos casos la migración de la infraestructura a sistemas en la nube debido, entre otras cosas, a las bondades de los sistemas en la nube y a la llegada de nuevos competidores al sector financiero proporcionado por directivas como PSD2 que obliga a la apertura de algunos servicios de pago de las entidades financieras a terceras empresas, los denominados TPP.Los TPP suelen ser empresas 100% digitales y apoyan toda su infraestructura en la nube, lo que les está proporcionando ventajas como la escalabilidad, el pago por uso de los recursos que deriva en menos costes de IT, así como el reducido time to market, es decir, el tiempo que tardan desde que detectan una oportunidad de negocio hasta que la ponen a disposición de los clientes. Por lo tanto, se ha realizado un estudio de los servicios ofrecidos por AWS, de PCI-DSS, del RGPD y de la PSD2. Además, se han revisado algunos CASB. Finalmente se han dado una serie de buenas prácticas y ejemplos de arquitecturas para cumplir con PCI-DSS, PSD2 y una solución para disponibilizar aplicaciones internas a cualquier ubicación en entornos de teletrabajo, lo que ha evidenciado que cualquier organización, financiera o no, puede migrar sus sistemas a la nube sin tener que penalizar la seguridad en materia de protección de datos.

The purpose of this study is to review what options have a financial institutions to migrate their infrastructure to cloud provider systems, but always maintaining or enhancing the security of data storage and processing. The financial industry is currently undergoing on a digital transformation process that in some cases involves the migration of infrastructure to cloud systems due, among other things, to the benefits of cloud systems and the arrival of new competitors in the financial sector provided by directives such as PSD2 that require some payment services from financial institutions to be opened up to third parties, known as TPP. TPPs are usually 100% digital companies and support their entire infrastructure in the cloud, which is providing them advantages such as scalability, pay-per-use of resources which results in lower IT costs, as well as reduced time to market, i.e., the time it takes when they detect a business opportunity until they make it available to customers. Therefore, a study has been carried out of the services offered by AWS, PCI-DSS, GDPR and PSD2. In addition, some CASBs have been reviewed. Finally, a series of good practices and examples of architectures have given for complying with PCI-DSS, PSD2 and a solution for making internal applications available at any location in teleworking environments. It has shown that any organization, financial or otherwise, can migrate their systems to the cloud without having to penalize data protection security.

La finalitat d'aquest treball és revisar quines opcions té una entitat financera per a migrar la seva infraestructura a sistemes de proveïdors en el núvol,però sempre mantenint o augmentant la seguretat de l'emmagatzematge i del tractament de les dades. Actualment el sector bancari està immers en un procés de transformació digital que implica en alguns casos la migració de la infraestructura a sistemes en el núvol degut, entre altres coses, a les bondats dels sistemes en el núvol i a l'arribada de nous competidors al sector financer proporcionat per directives com PSD2 que obliga a l'obertura d'alguns serveis de pagament de les entitats financeres a terceres empreses, els denominats TPP.Els TPP solen ser empreses 100% digitals i secunden tota la seva infraestructura en el núvol, la qual cosa els està proporcionant avantatges com l'escalabilitat, el pagament per ús dels recursos que deriva en menys costos de IT, així com el reduït estafi to market, és a dir, el temps que triguen des que detecten una oportunitat de negoci fins que la posen a la disposició dels clients. Per tant, s'ha realitzat un estudi dels serveis oferts per AWS, de PCI-DSS, del RGPD i de la PSD2. A més, s'han revisat alguns CASB. Finalment s'han donat una sèrie de bones pràctiques i exemples d'arquitectures per a complir amb PCI-DSS, PSD2 i una solució per a disponibilizar aplicacions internes a qualsevol ubicació en entorns de teletreball, la qual cosa ha evidenciat que qualsevol organització, financera o no, pot migrar els seus sistemes al núvol sense haver de penalitzar la seguretat en matèria de protecció de dades.