Las Bases de Datos y el RGPD…¡Vamos a Cifrar! (1/3)

Carlos Rodríguez  12 diciembre, 2018

Desde la entrada en vigor del nuevo reglamento europeo de protección dedatos (RGPD), y sobre su famoso articulo 32, concretamente la parte que habla de las
medidas técnicas y organizativas apropiadas para garantizar un nivel de
seguridad adecuado al riesgo, mucho se ha dicho y se ha escrito acerca de la
obligatoriedad del cifrado de las bases de datos (BBDD), aunque mas allá del debate, es
estrictamente recomendable hacerlo ya que la propia RGPD, en su articulo 34, establece la no obligatoriedad de comunicar un incidente de seguridad si los
datos están cifrados
, que como sabéis, es obligatorio hacerlo en las primeras
72 horas, tanto a la Agencia Española de Protección de Datos (AEPD) como al interesado, recogido en los art. 33 y 34.

Artículo 33:
El responsable y el encargado del tratamiento aplicarán medidas técnicas y
organizativas apropiadas para, que en su caso incluya, entre otros:


Artículo 34:
“La comunicación al interesado a que se refiere el apartado 1 no será necesaria si se
cumple alguna de las condiciones siguientes:
En este artículo quiero hablaros de la propia regulación normativa, ya que el
cifrado es un tema complejo, y veremos que hay varios métodos de cifrado y
su aplicabilidad a diferentes casos. También, analizaremos los tipos y
enfoques de encriptación (parte 2/3), junto con las consideraciones para la gestión clave
y el cumplimiento normativo parte 3/3).

La normativa

El cumplimiento de las normas de privacidad y seguridad es una parte
esencial del proceso operativo de una organización. En este caso, la decisión
de usar el cifrado es exigida por una o más de las regulaciones a las que está
sujetas las empresas. A continuación, revisamos una serie de regulaciones
relevantes y cómo se relacionan con el cifrado.

  • RGPD: el Reglamento General de Protección de Datos impone nuevas
    reglas a las empresas, agencias gubernamentales, organizaciones sin
    fines de lucro y otras organizaciones, que ofrecen bienes y servicios a
    personas en la UE, o que recopilan y analizan datos vinculados a los
    residentes de la UE. Requiere el uso de cifrado de datos,
    seudonimización y tokenización ,para proteger los datos personales
    (PII) de los ciudadanos de la UE. El art. 32 antes comentado hace
    referencia clara y explicita acerca de este tema.
  • PCI-DSS: El Consejo de Estándares de Seguridad de la Industria de
    Tarjetas de Pago ayuda a los comerciantes e instituciones financieras a
    comprender e implementar estándares para políticas de seguridad,
    tecnologías y procesos continuos que protegen sus sistemas de pago
    contra violaciones y robo de datos de titulares de tarjetas. Los datos del
    titular de la tarjeta deben ser ilegibles en cualquier lugar donde se
    almacenen mediante el uso de criptografía sólida (es decir, cifrado de
    disco) con procesos y procedimientos de administración de claves
    asociados. Las claves secretas y privadas utilizadas para cifrar /
    descifrar los datos del titular de la tarjeta deben almacenarse dentro de
    un dispositivo criptográfico seguro. Se deben usar criptografía fuerte y
    protocolos de seguridad (es decir, TLS, IPsec y SSH) para proteger los
    datos confidenciales de los titulares de tarjetas durante la transmisión
    a través de redes abiertas y públicas.
    Fuera de la UE, nos encontramos con varios estándares como pueden
    ser la GLBA, IIROC y FCA.
  • GLBA: La Ley Gramm-Leach-Bliley es una ley federal de los EE. UU. que
    exige que las instituciones financieras expliquen cómo comparten y
    protegen la información privada de sus clientes. El cifrado del número
    de cuenta es uno de los métodos para limitar el intercambio de
    información del número de cuenta con fines de marketing.
  • IIROC: la Organización Reguladora de la Industria de Inversiones de
    Canadá es una organización nacional autorregulada que supervisa a
    todos los operadores de inversión y las actividades comerciales en los
    mercados de deuda y capital en Canadá. La disposición requiere
    proteger la información del cliente, que puede incluir el cifrado de
    dichos datos, protegiendo aún más las claves de cifrado para garantizar
    la confidencialidad de la información del cliente.
  • FCA: Financial Conduct Authority es un organismo regulador financiero
    que regula las firmas financieras que prestan servicios a los
    consumidores y mantiene la integridad de los mercados financieros en
    el Reino Unido. Exigir el cifrado de los datos del cliente en movimiento,
    en reposo y respaldado.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *