LOPD, tienes un problema si almacenas datos sobre salud, creencias, filiación sindical, religión y sexo

Si en tu base de datos de clientes almacenas algún dato sobre salud, creencias, filiación sindical, religión y sexo tienes un serio problema. La Agencia de Protección de datos te exige una serie de requisitos de almacenamiento, backup encriptado y acceso a programas.

Aquí os dejo lo que dice la ley:

A) Distribución de soportes (art.23).

La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que dicha información no sea inteligible ni manipulada durante su transporte.

La finalidad perseguida por esta medida es evitar que, ante cualquier incidencia que pueda producirse en la distribución de los datos (o en el soporte que los contiene), terceros no autorizados puedan acceder a la datos; recomendándose la utilización de mecanismos de encriptación.

Para la encriptación de los datos pueden utilizarse mecanismos de cifrado de 40, 56, 128 bits o más, siendo el más recomendable para esta tipología de datos el cifrado de 128 bits.

El cifrado de los datos se realiza a través de algoritmos matemáticos. Actualmente, se están utilizando para la distribución de esta tipología de datos mecanismos de firma digital avanzada (claves públicas y claves privadas), que garantizan la autenticidad y confidencialidad de la información.

B) Registro de Accesos (art.24).

Esta medida impuesta por el Reglamento es la que conlleva más problemas técnicos y económicos para su implantación en las empresas, dado que han de configurarse las aplicaciones destinadas al tratamiento de los datos para que guarden y almacenen un gran volumen de datos.

Establece el Reglamento que, de cada acceso, se guardarán como mínimo:

a) La identificación del usuario,

b) Fecha y la hora en que se realizó el acceso,

c) Fichero accedido,

d) Tipo de acceso: autorizado o denegado,

e) Y en el caso que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido.

Los mecanismos que permiten el registro de los datos detallados anteriormente estarán bajo el control directo del responsable de seguridad competente sin que se deba permitir, en ningún caso, la desactivación de los mismos.

El período mínimo de conservación de los datos registrados será de dos años. Dado que el volumen de los datos a conservar puede ser muy alto, muchas empresas utilizan para cumplir con esta medida copias de seguridad específicas donde almacenan estos registros.

Además, el Reglamento establece que el responsable de seguridad competente se encargará de revisar periódicamente la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados al menos una vez al mes. Estos informes deberán ser conservados junto con el Documento de Seguridad.

C) Copias de respaldo y recuperación (art.25).

El Reglamento establece para los ficheros de datos de nivel alto que deberá conservarse una copia de respaldo y de los procedimientos de recuperación de los datos en un lugar diferente a aquél en que se encuentran los equipos informáticos que los tratan cumpliendo, en todo caso, las medidas de seguridad exigidas.

El almacenamiento y conservación de juegos de copias de seguridad y de los procedimientos de restauración de datos fuera de la ubicación principal (por ejemplo, en cámaras de seguridad de bancos, que nos ofrecen altas medidas de seguridad) nos garantiza la continuidad de la actividad y la disponibilidad de la información ante cualquier incidencia grave o muy grave, sea física o lógica, que afecte a los equipos y servidores centrales (incendios, inundaciones, etc…).

D) Transmisión de datos por redes de telecomunicaciones (art.26).

El reglamento, finalmente, establece que la transmisión de datos de carácter personal a través de redes de telecomunicaciones se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.

Habitualmente utilizamos para transmitir archivos redes de telecomunicaciones que son abiertas, es decir, que no cifran los datos mientras se transmiten entre dos puntos, permitiendo que puedan ser interceptados por terceras personas. Con la finalidad de evitar que en la transmisión de datos de nivel alto a través de redes puedan producirse intercepciones/manipulaciones de los datos, deben utilizarse mecanismos de cifrado de los datos o su transmisión a través de redes privadas, que garantizan que la comunicación entre los dos puntos es segura y no podrá ser interceptada/manipulada.

Esta entrada fue publicada en Sin categoría. Guarda el enlace permanente.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s