El Centro Criptológico Nacional ha publicado la guía CCN-STIC 004 de Manejo de información con clasificación Difusión Limitada, o equivalente, en nube pública
en la que se definen los requisitos de seguridad que deben cumplir, tanto los proveedores como los clientes de servicios Cloud, a la hora de acreditar un sistema que maneje este tipo de información.
El documento, de acceso público en el portal del CCN-CERT, responde a las nuevas necesidades de los sistemas de información en el ámbito de seguridad y defensa y está alineado con las nuevas políticas de seguridad de la información de la OTAN, siendo pionero en Europa.
Para la definición de estos requisitos de seguridad se han tenido en cuenta los exigidos para sistemas bajo el alcance del Esquema Nacional de Seguridad de categoría ALTA, además de la de los establecidos en la D32 de la OTAN.
La guía CCN-STIC 004 viene acompañada de un Anexo I con la Declaración de Aplicabilidad en el que se recogen hasta 21 requisitos adicionales y criterios de aplicación en función del sistema de información concreto y si es de proveedor de servicio o cliente del mismo.
