Cuatro reguladores económicos y tecnológicos chinos han publicado un conjunto de reglas y procedimientos que deben seguir las empresas en la nube con la esperanza de suministrar servicios al Partido Comunista, agencias gubernamentales u operadores de "infraestructura de información crítica".

La Administración del Ciberespacio de China (CAC), la Comisión Nacional de Desarrollo y Reforma, el Ministerio de Industria y Tecnología de la Información y el Ministerio de Finanzas han publicado conjuntamente las "Medidas de evaluación de seguridad de los servicios de computación en la nube" que entrarán en vigor el 1 de septiembre.

Las medidas establecen una nueva oficina dentro del CAC para realizar evaluaciones de seguridad, aunque serán realizadas por organizaciones técnicas especializadas.

Los grupos han afirmado que: "Estas medidas están formuladas para mejorar la seguridad y la capacidad de control de los servicios de computación en la nube adquiridos y utilizados por los órganos gubernamentales y del partido y los operadores de infraestructura de información crítica".

CAC tiene como objetivo verificar el crédito y el estado operativo de la plataforma en la nube; la seguridad de la tecnología, el producto y la cadena de suministro; capacidades de gestión de seguridad; y continuidad comercial del proveedor de servicios en la nube.

También verificarán los "antecedentes y la estabilidad del personal del proveedor de servicios en la nube, especialmente aquellos que pueden acceder a los datos del cliente y recopilar metadatos relevantes". No se aclara cómo deciden qué constituye la estabilidad.

Al solicitar la evaluación de seguridad, se espera que las empresas en la nube proporcionen:

  • Una declaración por escrito;
  • Plan de seguridad del sistema de servicios de computación en la nube;
  • Informes de continuidad del negocio y seguridad de la cadena de suministro;
  • Un análisis de portabilidad de datos del cliente;
  • Otros materiales necesarios para el trabajo de evaluación de seguridad.

Un sitio web de “Preguntas y Respuestas” del gobierno señala que "las diferentes plataformas en la nube operadas por el mismo proveedor de servicios en la nube deben solicitar la evaluación de seguridad por separado".

Una vez realizada la presentación, el 'grupo de expertos en seguridad del servicio de computación en la nube' de CAC recomendará si aprueba el servicio en la nube, con los resultados publicados por CAC.

Si se otorga la autorización, los resultados son válidos por tres años, a menos que los cambios significativos en la propiedad corporativa del proveedor de la nube requieran una nueva evaluación. Los grupos han declarado que: "Utilizando métodos tales como verificaciones puntuales y recibiendo informes, la Oficina lleva a cabo una supervisión continua de las plataformas en la nube que han pasado la evaluación, con énfasis en la supervisión de cuestiones como la efectividad, los cambios importantes, la respuesta de emergencia y la gestión de riesgos de las medidas de control de seguridad relevantes.”

En ningún momento las medidas estipulan que las empresas deben ser empresas de propiedad nacional.

Las compañías de nube extranjeras ya luchan en China, con leyes de seguridad nacional que impiden que las compañías no chinas posean ciertos activos de infraestructura críticos, incluidos aquellos involucrados en la prestación de servicios en la nube.

Dichas medidas han obligado a los proveedores occidentales de la nube a encontrar socios nacionales; por ejemplo, Microsoft Azure e IBM Cloud se ofrecen en asociación con 21Vianet Group, con sede en China, mientras que AWS trabaja con Beijing Sinnet.

Los legisladores chinos también han dicho que las empresas que transfieran más de 1.000 gigabytes de datos fuera del país tendrían que someterse a revisiones de seguridad anuales.

Estas reglas son anteriores a las actuales tensiones comerciales que existen entre los EE.UU y China, que probablemente dificultarán aún más a las empresas extranjeras de nube. Pero existe la posibilidad de algún cambio positivo, dependiendo del progreso de las discusiones comerciales: en abril, cuando parecía que un acuerdo podría estar a punto de concluir, los funcionarios chinos convocaron una reunión con representantes de compañías como Microsoft, Apple y Amazon para hablar sobre posibles eliminando restricciones.

Bloomberg informó que entre los temas discutidos se encontraba la idea de eliminar el requisito de la empresa conjunta. Un mes antes, The Wall Street Journal informó que el primer ministro chino, Li Keqiang, sugirió permitir que las empresas extranjeras posean centros de datos en zonas de libre comercio.