Entradas con la etiqueta ‘LOPD’
De que hablamos en 2010 y de que hablaremos en 2011
La legislación europea puede frenar el Cloud Computing en Europa
Las leyes europeas que protegen la información privada prohiben la libre circulación de datos. Dicha libre circulación es necesitada por los servicios de Cloud Computing. Por lo tanto, Europa puede quedar atrás en la implementación de la nube frente a Estados Unidos que tiene una legislación más laxa.
El Cloud Computing es una de las tendencias tecnológicas más importantes. Esta tecnología permite dar servicios online y de almacenamiento reduciendo los costes y permitiendo la ubicuidad a empresas y particulares.
La mayoría de los servicios que están disponibles, y gran parte de los que están en desarrollo, necesitan que exista una libre circulación de datos que puede verse limitada por las leyes europeas de protección de información.
Los países miembro de la UE particularmente, pero también otros países del entorno, tienen leyes muy restrictivas con la protección de datos. En algunos países, como Estados Unidos, las leyes no consideran datos privados la dirección personal o el número telefónico, por ejemplo.
Es por este motivo que los analistas prevén una implantación de la nube más lenta y menos profunda en los países europeos. También prevén que el porcentaje en el mercado, y en las cifras de negocio, será pequeño en comparación con la importancia de Europa como potencia industrializada.
Según un artículo publicado en New York Times, las compañías están tomando dos caminos para solucionar este inconveniente: por un lado intentan presionar a los gobiernos para que adapten las leyes a mecanismos de protección de datos menos estrictos, y por el otro se investiga con métodos que permitan funcionar a los servicios de cloud computing sin que los datos privados se vean comprometidos.
Los beneficios de la implantación de un SGSI
En cualquier organización que tenga responsabilidad sobre los datos que gestiona, es importante dar valor a los activos estableciendo procesos para securizarlos y gestionarlos de una forma metódica y documentada. Éstos se basarán en unos objetivos claros de seguridad y una evaluación de los riesgos, todo ello bajo estándares y el marco normativo aplicable. En nuestro caso: Normativa sobre Protección de Datos de Carácter Personal: Ley 15/99 de 13 de Diciembre, RD 1720/07 de 21 de Diciembre y resto de normativa de desarrollo (Dura Lex, Sed Lex).
En este sentido, nerion está certificada en la ISO 27001:2005 que establece un Sistema de Gestión de la Seguridad de la Información (SGSI).
Un sistema de gestión de la seguridad (SGSI) aporta los siguientes beneficios a la organización:
- Análisis de riesgos, identificando amenazas, vulnerabilidades e impactos sobre los activos de información.
- Minimiza los riesgos en materia de confidencialidad, integridad y disponibilidad.
- Mejora continua de la seguridad de la información, mediante la supervisión, revisión y eficacia de los procesos implantados.
- Aporta un valor añadido y/o diferencial a la compañía.
- Exterioriza una clara vocación del cumplimiento de la normativa sobre protección de datos.
- Certifica una especial solvencia técnica en materia de seguridad de la información.
Desde un enfoque mercantil frente a la Administración Pública, La Ley de Contratos del Sector Público, recoge esta materia en su Disposición Adicional Trigésimo Primera. Algunas administraciones han desarrollado, desde su potestad, exigiendo a sus licitadores que acrediten su solvencia en materia de seguridad de la información, a través de los pliegos de cláusulas administrativas y prescripciones técnicas.
Pero, ¿aporta algún valor estar certificado en un SGSI, como medio de defensa jurídica?
La Audiencia Nacional, en su Sentencia de 15 de Octubre de 2.009, Fundamento Jurídico Cuarto, aplica el artículo 45.5 de la LOPD, entre otros elementos, por contar con unos procedimientos certificados por Aenor.
Citamos textualmente; “Y también que la excelencia de los procedimientos y métodos de actuación seguidos por dicha empresa actora para el desarrollo de su actividad, ha sido certificada por AENOR, tal y como la misma acredita documentalmente. De todo lo cual es necesario concluir que concurre en el caso una cualificada disminución de la culpabilidad de tal entidad sancionada (…)”
Esta Sentencia, abre un nuevo elemento de defensa y un nuevo componente para justificar la implantación de un sistema de gestión de la seguridad de la información, dentro de las compañías. Si bien se ha de tomar con las reservas debidas, no consideremos que porque una Sentencia haya considerado este elemento, como aspecto justificativo para aplicar la disminución de la culpabilidad, pueda ser siempre empleado.
Fuente: securitybydefault.com
nerion informa que Microsoft ha publicado la versión 2 de su libro “La protección de datos personales. Soluciones en entornos Microsoft.” que ayuda a aplicar la LOPD
nerion informa que Microsoft ha publicado la versión 2 de su libro “La protección de datos personales. Soluciones en entornos Microsoft.” que ayuda a aplicar la LOPD
Pasados seis años desde la publicación de la primera versión, Microsoft ha publicado, en formato electrónico y de forma gratuita, esta guía. Ésta ayuda a aplicar una parte de la Ley orgánica de Protección de Datos (LOPD) para quien trabaje con software de Microsoft. Además, el libro puede ayudar a entender de forma práctica esta ley.
Durante el año 2008, se aprobó un Real Decreto (1720/2007) que desarrolla la Ley orgánica de Protección de Datos (LOPD), y regula cómo y de qué forma se debe cumplir con ella.
Esta Ley afecta a todas las empresas que trabajen con datos personales y está destinada a proteger los datos personales almacenados en los sistemas de información en función de su sensibilidad.
Microsoft, en el año 2002, publicó la primera versión de este libro ante la aprobación del anterior Real Decreto de Protección de Datos. El libro mostraba el texto de la ley y cómo llevarlo a la práctica en entornos Windows, paso a paso y de forma muy sencilla. Ante el éxito obtenido, se ha publicado una segunda versión actualizada con el doble de páginas.
La nueva versión servirá de ayuda a técnicos, directores de sistemas y directores de seguridad que trabajen con Windows y que deben plasmar en configuraciones técnicas concretas, las exigencias legales de un reglamento como el de la LOPD. El manual es también útil para los no técnicos que necesiten entender con un lenguaje llano y no
especializado, el reglamento.
En cualquier caso, cumplir por completo con la ley es mucho más complejo que lo que recoge el libro. Aun así, supone una lectura necesaria para descubrir la “traducción técnica” de las leyes, a veces redactadas con un lenguaje poco práctico para ser llevado a la realidad.
Libro de la Ley Orgánica de Protección de datos
Fuente: hispasec.com
nerion recomienda la utilización de certificados de seguridad
nerion informa que existe un escaso porcentaje de PYMES con certificados para proteger las operaciones realizadas por Internet
Últimamente se está hablando mucho de la seguridad a la hora de comprar online. Salen noticias al respecto del escaso porcentaje de PYMES con certificado para proteger las operaciones realizadas por Internet, dado que en muchos casos se desconocen las normativas que se deben seguir, entre ellas la LOPD, como muestra un informe INTECO.
Muchos empresarios lo achacan al gasto que supone esa inversión, dada la desconfianza generalizada de los usuarios a la hora de comprar, y a las noticias casi diarias que salen al respecto sobre robos online, phishing, etc.
Algunos bancos, y empresas como ebay/paypal, usan tecnologías como OTP para que los clientes puedan realizar transacciones, pero en general no se usa, más aún cuando el coste de la infraestructura y los dispositivos OTP cuestan dinero.
Las compañías expendedoras de tarjetas de crédito, que se juegan mucho dinero y mucho prestigio, evolucionan para intentar paliar los daños ocasionados por el fraude. Entre las pioneras está VISA, que está probando un sistema con OTP y display integrados en la tarjeta (con el mismo tamaño de una tarjeta estándar). Estas tarjetas son las llamadas Emue Cards. De este modo, al intentar realizar un pago con la tarjeta de crédito, esta pedirá una clave de un solo uso que aparecerá en el display y que habrá que teclear en la propia tarjeta.
Esta forma de pago añade una capa de seguridad adicional, ya que la compra será autorizada solamente si se tiene la tarjeta de crédito físicamente, no sólo el número. Es una buena evolución, bastante deseable desde hace un tiempo, y aunque queda camino por hacer, esto ayudará mucho a las empresas a vender más y a los compradores a realizar operaciones más seguras.
Y así, el problema del pago electrónico pasará a ser menos perjudicial que, por ejemplo, dejarle la tarjeta de crédito a un camarero para pagar la comida del restaurante (con la que pueden coger el PAN o número de tarjeta sin problemas).
Desde nerion le recomendamos la utilización de certificados de seguridad para proteger las operaciones de compra en su web.
Más información:
http://www.nerion.es/servicios/certificados.htm
Bienvenido al blog de nerion
