Infosec In Brief: Suiza, a través de la Conferencia de Directores de Protección de Datos, Privatim, emitió la semana pasada una resolución que insta a las entidades públicas a evitar el uso de hyperscale clouds y SaaS por razones de seguridad.
“La mayoría de soluciones SaaS no ofrecen cifrado de extremo a extremo real que impediría al proveedor acceder a datos en claro”, indica la resolución. Por ello, SaaS o nubes hyperscale —especialmente las sometidas al CLOUD Act de EE. UU.— no son lugares apropiados para que las agencias gubernamentales suizas alojen datos particularmente sensibles o datos sujetos a confidencialidad.
La resolución también señala que los proveedores de servicios en la nube y SaaS pueden modificar unilateralmente sus términos y condiciones, erosionando potencialmente las disposiciones de seguridad y privacidad.
La conclusión es que Suiza no debe permitir el uso de SaaS de grandes proveedores internacionales en la mayoría de los casos; Microsoft 365 se señala específicamente como un servicio inapropiado.
Además, la noticia destaca que un ingeniero de seguridad analizó repositorios públicos de GitLab y halló 17,000 secretos verificados, describiendo un flujo en el que un script envía los nombres de repos a AWS SQS para su procesamiento, ejemplificando el nivel de exposición de credenciales en código.
Esta pieza forma parte de Infosec In Brief y subraya la creciente preocupación por el control de datos gubernamentales y la necesidad de cifrado y controles más estrictos en SaaS y nube, especialmente en contextos transnacionales. Para más detalles, ver la resolución de Privatim en Privatim.
