No se trata solo de la data, también se tiene que tener en cuenta la continuidad operacional, y si, es normal que la data este en mas de un país, para eso existen los certificados (HSM) y el cifrado de datos, aunque estén en otro país con una buena estrategia no hay problemas de seguridad de la información (lo se porque certificamos tres países en ISO 8000 9000 y 27000 de un paraguaso), lo principal, para las empresas multinacionales es la operatividad del negocio y cuando tus estrategias de negocios están bien planificadas no hay problemas.
El pero es que todo eso no te va a proteger ante un cambio de legislación o cambios geo-políticos en territorio extranjero, al menos en Chile te protege la ley de protección de dato personales, sí vale yuyo pero al menos es una protección, y desde el año pasado ya por derecho constitucional.
Por ejemplo hay otro atentado en EEUU y el loco de turno saca un decreto que indica que todo dato almacenado en territorio de EEUU pasa a ser parte de US Government por lo tanto deben pasar la llaves de encriptación. Hasta ahí llegaste con tus datos personales y sensibles.
Y lamentablemente en este tipo de proyectos no veo por ninguna parte que se estén considerando las repercusiones legales que se debiesen tener para el tipo de datos que se quiere almacenar en la nube en pos de sólo mantener la continuidad operacional de la empresa a costo más bajo posible (me parece y no estoy seguro que las ISOS que nombras no tocan la parte legal alguna vez vi la NCh 17799 y la 9001), todo esto hablando siempre de datos privados y sensibles.
Por normativa eso no es posible de hacer, al menos para las operaciones que se hacen en Chile (por eso la mayoria de los bancos en Chile que esta experimentando con la nube o lo estan haciendo con proveedores locales o se estan armando una nube privada), en caso de que Scotiabank haya tenido datos sensibles afuera se estan arriesgando a una multa cotota.
De todas formas tambien habria que saber a que nos referimos cuando hablamos de datos sensibles.
Así es, (creo que) lamentablemente es sólo una normativa para los bancos, pero encuentro que esto también se debiera aplicar a Clínicas, Hospitales, empresas estratégicas para el estado ( Aquellas que por su naturaleza los trabajadores no tienen derecho a huelga por poder afectar negativamente al país) y toda empresa que guarde datos de carácter privado o datos sensibles.
Te dejo una pequeña definición de la ley acerca de estas 2 definiciones:
f) Datos de carácter personal o datos personales, los relativos a cualquier información concerniente a personas naturales, identificadas o identificables.
g) Datos sensibles, aquellos datos personales que se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, tales como los hábitos personales, el origen racial, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos y la vida sexual.
Te dejo el
link a la ley
