Las Bases de Datos y el RGPD…¡Vamos a Cifrar! (1/3)Carlos Rodríguez Morales 12 diciembre, 2018 Desde la entrada en vigor del nuevo reglamento europeo de protección dedatos (RGPD), y sobre su famoso articulo 32, concretamente la parte que habla de las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, mucho se ha dicho y se ha escrito acerca de la obligatoriedad del cifrado de las bases de datos (BBDD), aunque mas allá del debate, es estrictamente recomendable hacerlo ya que la propia RGPD, en su articulo 34, establece la no obligatoriedad de comunicar un incidente de seguridad si los datos están cifrados, que como sabéis, es obligatorio hacerlo en las primeras 72 horas, tanto a la Agencia Española de Protección de Datos (AEPD) como al interesado, recogido en los art. 33 y 34. El responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para, que en su caso incluya, entre otros:Artículo 33 “La comunicación al interesado a que se refiere el apartado 1 no será necesaria si se cumple alguna de las condiciones siguientes:Artículo 34 En este post quiero hablaros de la propia regulación normativa, ya que el cifrado es un tema complejo, y veremos que hay varios métodos de cifrado y su aplicabilidad a diferentes casos. También, analizaremos los tipos y enfoques de encriptación (parte 2/3), junto con las consideraciones para la gestión clave y el cumplimiento normativo parte 3/3). La normativa El cumplimiento de las normas de privacidad y seguridad es una parte esencial del proceso operativo de una organización. En este caso, la decisión de usar el cifrado es exigida por una o más de las regulaciones a las que está sujetas las empresas. A continuación, revisamos una serie de regulaciones relevantes y cómo se relacionan con el cifrado. RGPD: el Reglamento General de Protección de Datos impone nuevas reglas a las empresas, agencias gubernamentales, organizaciones sin fines de lucro y otras organizaciones, que ofrecen bienes y servicios a personas en la UE, o que recopilan y analizan datos vinculados a los residentes de la UE. Requiere el uso de cifrado de datos, seudonimización y tokenización ,para proteger los datos personales (PII) de los ciudadanos de la UE. El art. 32 antes comentado hace referencia clara y explicita acerca de este tema.PCI-DSS: El Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago ayuda a los comerciantes e instituciones financieras a comprender e implementar estándares para políticas de seguridad, tecnologías y procesos continuos que protegen sus sistemas de pago contra violaciones y robo de datos de titulares de tarjetas. Los datos del titular de la tarjeta deben ser ilegibles en cualquier lugar donde se almacenen mediante el uso de criptografía sólida (es decir, cifrado de disco) con procesos y procedimientos de administración de claves asociados. Las claves secretas y privadas utilizadas para cifrar / descifrar los datos del titular de la tarjeta deben almacenarse dentro de un dispositivo criptográfico seguro. Se deben usar criptografía fuerte y protocolos de seguridad (es decir, TLS, IPsec y SSH) para proteger los datos confidenciales de los titulares de tarjetas durante la transmisión a través de redes abiertas y públicas. Fuera de la UE, nos encontramos con varios estándares como pueden ser la GLBA, IIROC y FCA.GLBA: La Ley Gramm-Leach-Bliley es una ley federal de los EE. UU. que exige que las instituciones financieras expliquen cómo comparten y protegen la información privada de sus clientes. El cifrado del número de cuenta es uno de los métodos para limitar el intercambio de información del número de cuenta con fines de marketing.IIROC: la Organización Reguladora de la Industria de Inversiones de Canadá es una organización nacional autorregulada que supervisa a todos los operadores de inversión y las actividades comerciales en los mercados de deuda y capital en Canadá. La disposición requiere proteger la información del cliente, que puede incluir el cifrado de dichos datos, protegiendo aún más las claves de cifrado para garantizar la confidencialidad de la información del cliente.FCA: Financial Conduct Authority es un organismo regulador financiero que regula las firmas financieras que prestan servicios a los consumidores y mantiene la integridad de los mercados financieros en el Reino Unido. Exigir el cifrado de los datos del cliente en movimiento, en reposo y respaldado. También te puede interesar: » Las Bases de Datos y el RGPD…¡Vamos a Cifrar! (2/3) » Las Bases de Datos y el RGPD…¡Vamos a Cifrar! (3/3) En qué consiste AuthCode, nuestro premiado sistema de autenticación continua, desarrollado junto a la Universidad de MurciaWho is Who at ElevenPaths: conoce a Marina Bezares
María Riesgo Educación en tecnología de la información, ¿peligro u oportunidad? El mundo avanza considerablemente rápido. Si echamos un vistazo atrás, no podríamos imaginarnos la posibilidad de conectarnos a un ordenador sin interrumpir el teléfono fijo de casa o contestar...
Cristina del Carmen Arroyo Siruela ¿Qué distingue a una Mujer Hacker? Qué tiene de especial una Mujer Hacker es algo que he ido descubriendo a lo largo de mi vida, a lo largo de mis distintas vivencias con la tecnología. Mi primera experiencia, como muchas de...
ElevenPaths #MujeresHacker: apuesta por tu pasión #MujeresHacker, la iniciativa global de Telefónica que persigue visibilizar el papel de la mujer dentro del sector tecnológico y concienciar a nuestras niñas sobre su potencial para estudiar carreras...
ElevenPaths Entrevista: hablamos de libros y #MujeresHacker con Javier Padilla Hace unos días tuvimos la oportunidad de hablar con Javier Padilla, emprendedor en Internet y escritor de los libros protagonizados por la joven hacker Mara Turing, una charla muy...
ElevenPaths Boletín semanal de ciberseguridad 27 de febrero – 5 de marzo HAFNIUM ataca servidores de Microsoft Exchange con exploits 0-day Microsoft ha detectado el uso de múltiples exploits 0-day para llevar a cabo ataques dirigidos contra las versiones on premise de...
ElevenPaths Todo lo que necesitas saber sobre los certificados SSL/TLS ¿Qué es un certificado digital? Un Certificado digital SSL/TLS (Secure Sockets Layer/Transport Layer Security) es el protocolo de seguridad más utilizado que permite realizar una transferencia de datos de manera cifrada...
