ElevenPaths Telefónica y BOTECH FPI, juntos contra el fraude en el sector bancario El pasado 31 de mayo se consolidó la alianza entre Telefónica y BOTECH FPI (Fraud, Prevention & Intelligence) con el objetivo de explotar las sinergias de estas empresas en...
Área de Innovación y Laboratorio de ElevenPaths PoC: CapaciCard ya trabaja con el touchpad de los portátiles Hemos seguido desarrollando CapaciCard para que trabaje con el touchpad de del ordenador, de la misma forma en la que ya lo hace con la pantalla de cualquier móvil....
ElevenPaths Telefónica Empresas ya es Socio Platino de RSA La seguridad de la información representa un gran desafío para las organizaciones desde los albores de la era digital. Sin embargo, hoy en día se han combinado varios factores...
ElevenPaths Cybersecurity Shot_Fuga de Información de R2Games Cybersecurity Shot es un tipo de informe de investigación sobre casos de actualidad relacionados con bases de datos filtradas en la red así con algunas recomendaciones que podrían haberlo evitado. Cada entrega trae...
Carlos Ávila JavaScript está en todos lados… ¡Y sus debilidades también! En la década de los 90, en muchos casos JavaScript nos servía poco más que para lanzar nieve en navidad o cambiar de skins en ciertas fechas a nuestras...
Área de Innovación y Laboratorio de ElevenPaths PoC: CapaciCard ya trabaja con el touchpad de los portátiles Hemos seguido desarrollando CapaciCard para que trabaje con el touchpad de del ordenador, de la misma forma en la que ya lo hace con la pantalla de cualquier móvil....
ElevenPaths FOCA Open Source En el último Security Innovation Day 2017 realizado hace unos pocos días, hemos presentado muchas novedades, nuevas patentes, nuevas herramientas y nuevas alianzas… sin embargo, algo un tanto especial...
ElevenPaths Latch Plugins Contest 2016 is over Today, Monday, December 12 at 1 pm (CET), was the deadline for the submission of plugin applications to the Latch Plugins Contest, the Latch contest that looks for innovative...
Carlos Ávila JavaScript está en todos lados… ¡Y sus debilidades también! En la década de los 90, en muchos casos JavaScript nos servía poco más que para lanzar nieve en navidad o cambiar de skins en ciertas fechas a nuestras...
Área de Innovación y Laboratorio de ElevenPaths PoC: CapaciCard ya trabaja con el touchpad de los portátiles Hemos seguido desarrollando CapaciCard para que trabaje con el touchpad de del ordenador, de la misma forma en la que ya lo hace con la pantalla de cualquier móvil....
ElevenPaths Qué hemos presentado en el Security Day 2015 (I): éxito empresarial con la firma biométrica manuscrita El pasado 28 de mayo, celebramos la segunda edición de nuestro evento anual de seguridad, ElevenPaths Security Day 2015, donde presentamos nuestras nuevas soluciones de seguridad pensadas para simplificar...
ElevenPaths Firma digital de documentos con SealSign (III) En un artículo anterior vimos los distintos productos de SealSign e indicamos que se basaban en la firma digital, la cual puede utilizar tanto biometría como certificados digitales. En...
Modelo de “Acuerdo de Nivel de Privacidad” para Cloud ServicesElevenPaths 30 julio, 2013 Uno de los principales (y más delicados) aspectos que hay que tener en cuenta a la hora de realizar una la contratación de servicios de Cloud Computing es, sin duda alguna, el acuerdo de servicio que se establece entre el cliente y el proveedor de servicios. En este acuerdo, uno de los factores más críticos e importantes a tener en cuenta es la privacidad y, en concreto, el punto referente a la protección de datos que un proveedor de servicios de Cloud Computing se compromete a mantener con respecto al tratamiento de los datos de carácter personal. No se debe confundir este tipo de acuerdos con los Acuerdos de Nivel de Servicio, también conocidos por sus siglas en inglés SLA (Service Level Agreement). Estos son usados generalmente para proporcionar métricas y otro tipo de información acerca del rendimiento de los servicios. En concreto, el Acuerdo de Nivel de Privacidad está orientado a suministrar a los clientes actuales y potenciales de servicios Cloud Computing, una herramienta para evaluar y calificar el compromiso del proveedor del servicio en el ámbito de la privacidad. De igual manera, facilita a los proveedores una herramienta para promocionar sus buenas prácticas respecto a la privacidad y a la protección de los datos, volviéndose especialmente interesante sobre todo cuando la información que se va a gestionar no se encuentra dentro de las mismas fronteras de la entidad que va a contratar el servicio con el proveedor. Para ello la Cloud Security Alliance (CSA), organización de referencia encargada de promover el uso de buenas prácticas para ofrecer garantías de seguridad en Cloud Computing, además de educar sobre los usos de esta tecnología, ha publicado este año un modelo de Acuerdo de Nivel de Privacidad (Privacy Level Agreement, PLA), disponible tanto en inglés como en español, estableciéndose como un estándar de uso para las organizaciones a la hora de regular la privacidad en los servicios que puedan contratarse en la nube. Dentro de este acuerdo se contemplan los objetivos que deben cumplir este tipo de acuerdos, las consideraciones e investigaciones que deben realizarse antes de contratar el servicio y por último el esquema del acuerdo. El esquema se encarga de contemplar aspectos tan cruciales como: La información del proveedor de servicio (denominación, dirección del lugar de establecimiento, representante local en la UE, función asumida en materia de protección de datos, datos de contacto del delegado de protección de datos que atenderá las solicitudes del cliente y datos de contacto del responsable de seguridad de la información). Las categorías de datos personales que el cliente puede o no transmitir o tratar en la nube. Las formas en que los datos serán tratados. Esto abarca desde las tareas llevadas a cabo por iniciativa del proveedor, las que el cliente solicita adicionalmente y las que éste llevará a cabo por cuenta propia. Además incluye temas como subcontratistas, uso de software adicional en el sistema del cliente o la ubicación de los datos personales. Este último aspecto supone una de las principales polémicas de este tipo de servicio. En función de la ubicación donde se encuentren almacenados los datos, una entidad, al estar sujeta a las leyes y regulaciones del país o región donde se ubica y no a donde resida el cliente, se puede ver afectada por leyes y regulaciones diferentes en temas de privacidad y protección de datos. Un claro ejemplo de ley (quizás intrusiva) es la americana USA Patriot ACT. Temas relacionados a transferencia y migración de datos transfronterizos ante situaciones de normalidad y emergencia. Medidas de seguridad técnicas, físicas y organizativas que se implementarán para la protección de los datos, además de las medidas de seguridad que se implementarán para satisfacer su disponibilidad, integridad y confidencialidad, así como también transparencia, aislamiento, capacidad de intervención, portabilidad y responsabilidad. Temas relacionados a la supervisión y monitorización por parte del cliente al proveedor de servicio para verificar que cumple apropiadamente con las medidas de seguridad descritas. Auditorías de terceros al proveedor del servicio, y al servicio contratado. También la posibilidad de facilitar al cliente informes, estudios y frecuencia con la que se actualizan. Notificación de violaciones de datos de carácter personal o de la privacidad de la información del cliente. Políticas de retención de datos del proveedor del servicio, condiciones para devolver los datos de carácter personal y su destrucción una vez el servicio haya finalizado. Políticas y procedimientos para garantizar el cumplimiento legal del acuerdo por parte del proveedor de servicio, subcontratistas y socios de negocios, así como la cooperación de cada uno de ellos con el cliente para el cumplimiento legal de las disposiciones de protección de datos. Procesos para la gestión y respuesta de peticiones de revelación de datos de carácter personal por parte de autoridades. Compensaciones en caso de que el proveedor de servicio, subcontratistas y socios de negocios incumplieran las obligaciones descritas en el acuerdo. Datos de contacto y procedimiento para preguntas y reclamaciones que el proveedor del servicio o subcontratistas pudieran recibir por parte del cliente. Alcance de las pólizas de ciberseguros del proveedor de servicio de Cloud Computing incluyendo seguros relativos a fallos de seguridad. Este modelo busca contribuir a la generación de confianza y transparencia en la prestación de este tipo de servicios. Pare ello, la Cloud Security Alliance se ha basado en la normativa europea en materia de protección de datos en vigor, además de tener en cuenta las buenas prácticas y recomendaciones de distintas autoridades de protección de datos como el Grupo Europeo de Protección de Datos del Artículo 29 y la Agencia Española de Protección de Datos. De esta manera, el Acuerdo de Nivel de Privacidad puede ser considerado como una herramienta para reducir las barreras u obstáculos existentes entre clientes y proveedores a la hora de la adquisición de este tipo de servicios. Umberto Schiavo umberto.schiavo@11paths.com Keyloggers y protecciones de credenciales en banca online (y II)(re) Introducing Evil Foca (DEFCON Edition)
Carlos Ávila JavaScript está en todos lados… ¡Y sus debilidades también! En la década de los 90, en muchos casos JavaScript nos servía poco más que para lanzar nieve en navidad o cambiar de skins en ciertas fechas a nuestras...
ElevenPaths Telefónica y BOTECH FPI, juntos contra el fraude en el sector bancario El pasado 31 de mayo se consolidó la alianza entre Telefónica y BOTECH FPI (Fraud, Prevention & Intelligence) con el objetivo de explotar las sinergias de estas empresas en...
Área de Innovación y Laboratorio de ElevenPaths PoC: CapaciCard ya trabaja con el touchpad de los portátiles Hemos seguido desarrollando CapaciCard para que trabaje con el touchpad de del ordenador, de la misma forma en la que ya lo hace con la pantalla de cualquier móvil....
Área de Innovación y Laboratorio de ElevenPaths Nueva herramienta Aridi: obteniendo información del sistema y su infraestructura en Linux Dentro de nuestro programa de tutorización de proyectos fin de máster, desde el área de Innovación y Laboratorio de ElevenPaths, hemos considerado oportuno destacar el trabajo de Daniel Pozo...
Gabriel Bergel Implementando ciberseguridad desde cero (Parte 2) Con el objetivo de continuar con el post publicado en nuestro blog hace unos días sobre “Cómo implementar Ciberseguridad desde cero”, continuamos con nuestros consejos de cómo empezar a...
Área de Innovación y Laboratorio de ElevenPaths KORDO, nuestra tecnología para solucionar el registro de jornada (apoyada en Latch) Desde el pasado 12 de mayo, las empresas deben registrar diariamente la jornada de sus trabajadores, tras la aprobación por el Gobierno del Real Decreto-ley de medidas urgentes de...
Los servicios y cloud services se han situado como un elemento principal en el proceso de transformación IT de las empresas. la mayoria de compañias estudian las diferents alternativas de cloud computing, almacenamiento en la nube u otro cloud service bien sea privado, público o híbrido, además de la adopción de los nuevos modelos Service, para dar una respuesta felible y óptima en coste a las cada vez más exigentes demandas de los negocios. Responder
