Las Bases de Datos y el RGPD…¡Vamos a Cifrar! (1/3)Carlos Rodríguez Morales 12 diciembre, 2018 Desde la entrada en vigor del nuevo reglamento europeo de protección dedatos (RGPD), y sobre su famoso articulo 32, concretamente la parte que habla de las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, mucho se ha dicho y se ha escrito acerca de la obligatoriedad del cifrado de las bases de datos (BBDD), aunque mas allá del debate, es estrictamente recomendable hacerlo ya que la propia RGPD, en su articulo 34, establece la no obligatoriedad de comunicar un incidente de seguridad si los datos están cifrados, que como sabéis, es obligatorio hacerlo en las primeras 72 horas, tanto a la Agencia Española de Protección de Datos (AEPD) como al interesado, recogido en los art. 33 y 34. El responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para, que en su caso incluya, entre otros:Artículo 33 “La comunicación al interesado a que se refiere el apartado 1 no será necesaria si se cumple alguna de las condiciones siguientes:Artículo 34 En este post quiero hablaros de la propia regulación normativa, ya que el cifrado es un tema complejo, y veremos que hay varios métodos de cifrado y su aplicabilidad a diferentes casos. También, analizaremos los tipos y enfoques de encriptación (parte 2/3), junto con las consideraciones para la gestión clave y el cumplimiento normativo parte 3/3). La normativa El cumplimiento de las normas de privacidad y seguridad es una parte esencial del proceso operativo de una organización. En este caso, la decisión de usar el cifrado es exigida por una o más de las regulaciones a las que está sujetas las empresas. A continuación, revisamos una serie de regulaciones relevantes y cómo se relacionan con el cifrado. RGPD: el Reglamento General de Protección de Datos impone nuevas reglas a las empresas, agencias gubernamentales, organizaciones sin fines de lucro y otras organizaciones, que ofrecen bienes y servicios a personas en la UE, o que recopilan y analizan datos vinculados a los residentes de la UE. Requiere el uso de cifrado de datos, seudonimización y tokenización ,para proteger los datos personales (PII) de los ciudadanos de la UE. El art. 32 antes comentado hace referencia clara y explicita acerca de este tema.PCI-DSS: El Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago ayuda a los comerciantes e instituciones financieras a comprender e implementar estándares para políticas de seguridad, tecnologías y procesos continuos que protegen sus sistemas de pago contra violaciones y robo de datos de titulares de tarjetas. Los datos del titular de la tarjeta deben ser ilegibles en cualquier lugar donde se almacenen mediante el uso de criptografía sólida (es decir, cifrado de disco) con procesos y procedimientos de administración de claves asociados. Las claves secretas y privadas utilizadas para cifrar / descifrar los datos del titular de la tarjeta deben almacenarse dentro de un dispositivo criptográfico seguro. Se deben usar criptografía fuerte y protocolos de seguridad (es decir, TLS, IPsec y SSH) para proteger los datos confidenciales de los titulares de tarjetas durante la transmisión a través de redes abiertas y públicas. Fuera de la UE, nos encontramos con varios estándares como pueden ser la GLBA, IIROC y FCA.GLBA: La Ley Gramm-Leach-Bliley es una ley federal de los EE. UU. que exige que las instituciones financieras expliquen cómo comparten y protegen la información privada de sus clientes. El cifrado del número de cuenta es uno de los métodos para limitar el intercambio de información del número de cuenta con fines de marketing.IIROC: la Organización Reguladora de la Industria de Inversiones de Canadá es una organización nacional autorregulada que supervisa a todos los operadores de inversión y las actividades comerciales en los mercados de deuda y capital en Canadá. La disposición requiere proteger la información del cliente, que puede incluir el cifrado de dichos datos, protegiendo aún más las claves de cifrado para garantizar la confidencialidad de la información del cliente.FCA: Financial Conduct Authority es un organismo regulador financiero que regula las firmas financieras que prestan servicios a los consumidores y mantiene la integridad de los mercados financieros en el Reino Unido. Exigir el cifrado de los datos del cliente en movimiento, en reposo y respaldado. También te puede interesar: » Las Bases de Datos y el RGPD…¡Vamos a Cifrar! (2/3) » Las Bases de Datos y el RGPD…¡Vamos a Cifrar! (3/3) En qué consiste AuthCode, nuestro premiado sistema de autenticación continua, desarrollado junto a la Universidad de MurciaWho is Who at ElevenPaths: conoce a Marina Bezares
Telefónica Tech Boletín semanal de Ciberseguridad, 28 de enero – 3 de febrero LockBit Green: nueva variante de LockBit Recientemente, investigadores de vx-underground han detectado que los gestores del ransomware LockBit están utilizando una nueva variante de ransomware, denominada LockBit Green. Esta nueva variante...
Martiniano Mallavibarrena Ciberseguridad en el cine: mito vs. realidad con 10 ejemplos Los múltiples aspectos de la ciberseguridad (ataques, investigaciones, defensa, empleados desleales, negligencia, etc.) llevan años siendo parte del argumento de infinidad de películas y series de TV. En la...
Daniel Pous Montardit Resiliencia, clave en sistemas Cloud-Native En el primer post de la serie Cloud-Native, ¿Qué significa que mi software sea Cloud Native?, presentamos la resiliencia como uno de los atributos fundamentales que nos ayudan a...
Telefónica Tech Boletín semanal de Ciberseguridad, 21 – 27 de enero Killnet apunta contra objetivos en España Esta semana el grupo hacktivista Killnet anunció una campaña de ataques contra Alemania, dando lugar a la realización de ataques de Denegación de Servicio...
Gonzalo Fernández Rodríguez ¿Qué significa que mi aplicación sea Cloud Native? El término Cloud Native es algo que va más allá de mover las aplicaciones alojadas en un data center a una infraestructura proporcionada por un proveedor Cloud, sea Cloud...
Telefónica Tech Boletín semanal de Ciberseguridad, 14 – 20 de enero Vulnerabilidades críticas en los router Netcomm y TP-Link Se han descubierto una serie de vulnerabilidades en los routers Netcomm y TP-Link. Por un lado, los fallos, identificados como CVE-2022-4873 y CVE-2022-4874, se tratan de un...
