Medidas de seguridad en los tratamientos de datos personales

Transcripción

1 I Jornada de Protección de Datos para Directivos de la Comunidad de Madrid Medidas de seguridad en los tratamientos de datos personales Arturo Ribagorda Garnacho 5 de octubre de 2010

2 LOPD: Seguridad de los datos (Art. 9) 2. No se registrarán datos de carácter personal en ficheros automatizados que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas

3 LOPD: Seguridad de los datos (Art. 9) 3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 ( Datos especialmente protegidos ) de esta Ley.

4 REGLAMENTO DE DESARROLLO DE LA LOPD Regula tratamientos y ficheros Tratamiento total o parcialmente automatizado, o no automatizado, de datos de carácter personal Desarrollo reglamentario de la totalidad de la LOPD (excepto el estatuto de la AEPD)

5 REGLAMENTO DESARROLLO LOPD: Título VIII Capítulo III. Medidas de seguridad de aplicables a ficheros y tratamientos automatizados Sección Primera. Nivel básico Sección Segunda. Nivel medio Sección Tercera. Nivel alto

6 REGLAMENTO LOPD: Título VIII MEDIDAS DE SEGURIDAD Administrativas y organizativas Técnicas Físicas

7 C. E. Primer informe sobre la aplicación de la Directiva 95/46, sobre protección de datos (2003) 265 la aplicación de medidas tecnológicas adecuadas constituye un complemento fundamental de los medios jurídicos y debe constituir i una parte de cualquier esfuerzo destinado a obtener un grado suficiente de protección de la intimidad.

8 COMUNICACIÓN DE LA COMISIÓN AL P.E. Y AL CONSEJO (2007) 228 PRIVACY ENHANCED TECHNOLOGY (PET) Instrumentos de cifrado Uso de anonimizadores automáticos Anuladores de cookies Plataformas de preferencias de privacidad (P3P)

9 REGLAMENTO LOPD: Título VIII. Capítulo III MEDIDAS DE SEGURIDAD: Técnicas Autenticación de usuarios (Art. 93, 98) Control de accesos (Art. 91) Cifrado de información (Art. 101, 104) Registros de auditoria (Art. 103)

10 REGLAMENTO LOPD: Título VIII. Capítulo III IDENTIFICACIÓN Y AUTENTICACIÓN Nivel básico (Art. 93) Inequívoca y personalizada Contraseñas: Asignación, distribución y almacenamiento confidencial i e integro Cambios periódicos (menos de un año) Nivel medio (Art. 93) Limitación de intentos de acceso

11 IDENTIDAD DIGITAL Identificación Conjunto de datos alfanuméricos Autenticación Credenciales ARG1

12 Diapositiva 11 ARG1 Que permiten demostrar fehacientemente la identidad Arturo Ribagorda; 25/09/2010

13 IDENTIDAD DIGITAL. Credenciales Rasgo del comportamiento Características biométricas (huella dactilar, voz) Posesión de un objeto (tarjeta inteligente o no ) Conocimiento de una información (contraseña)

14 SISTEMAS BIOMÉTRICOS: Ejemplos

15 SISTEMAS BIOMÉTRICOS: Problemas Falsa aceptación/falso rechazo Aleatoriedad Reemplazamiento Privacidad (Intimidad) UdW1

16 Diapositiva 14 UdW1 Algunos pueden revelar enfermedades Usuario de Windows; 08/12/2009

17 AUTENTICACIÓN MEDIANTE LA FIRMA Solicitud de acceso Reto Firma del reto

18 El documento nacional de identidad electrónico 1 (Art. 15) 1. El documento nacional de identidad d electrónico es el documento nacional de identidad que acredita electrónicamente la identidad personal de su titular y permite la firma electrónica de documentos 1. Ley 59/03 de firma electrónica 16

19 E-ID. Ejemplos Tarjeta de identificación ió Tarjeta sanitaria Permiso de conducir 17

20 E-ID. Problemas Suministro i de información ió superflua Accesos indebidos Uso de certificados de no-repudio 18

21 IDENTIDAD DIGITAL: Privacidad en el DNI-e Zona pública: Certificado CA intermedia emisora Claves Diffie-Hellman Certificado x509 de componente Zona privada: Certificado de Firma (No Repudio) Certificado de Autenticación (Digital Signature) Zona de seguridad: Datos de filiación del ciudadano Imagen de la fotografía. Imagen de la firma manuscrita.

22 AGE: Empleados/firma electrónica avanzada 1 Informe REINA 09

23 IDENTIDAD DIGITAL: Privacidad Protocolos criptográficos Firmas grupales Firma dual Pruebas de conocimiento nulo (ZKP) Certificados digitales anónimos Firmas ciegas Cifrado biométrico

24 REGLAMENTO LOPD: Título VIII. Capítulo III MEDIDAS DE SEGURIDAD: Técnicas Autenticación de usuarios (Art. 93, 98) Control de accesos (Art. 91) Cifrado de información (Art. 101, 104) Registros de auditoria (Art. 103)

25 REGLAMENTO LOPD: Título VIII. Capítulo III DISTRIBUCIÓN SOPORTES: Nivel alto (Art ) Deberá evitarse el tratamiento t t de datos de carácter personal en dispositivos portátiles que no permitan su cifrado. En caso de que sea estrictamente necesario se hará constar motivadamente en el documento de seguridad y se adoptarán medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos

26 REGLAMENTO LOPD: Título VIII. Capítulo III DISTRIBUCIÓN DE SOPORTES: Nivel alto (Art ) La distribución de los soportes [ ] se realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o manipulada durante su transporte. Asimismo, se cifrarán los datos que contengan los dispositivos portátiles cuando éstos se encuentren fuera de las instalaciones que están bajo el control del responsable del fichero

27 REGLAMENTO LOPD: Título VIII. Capítulo III COPIAS DE RESPALDO: Nivel alto (Art. 102) Deberá conservarse una copia de respaldo de los datos y de los procedimientos i de recuperación de los mismos en un lugar diferente [ ], que deberá cumplir en todo caso las medidas de seguridad exigidas en este título, o utilizando elementos que garanticen la integridad y recuperación de la información, de forma que sea posible su recuperación

28 REGLAMENTO LOPD: Título VIII. Capítulo III TELECOMUNICACIONES: Nivel alto (Art. 104) Cuando, [ ] deban implantarse las medidas de seguridad de nivel alto, la transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros

29 BASES DE DATOS: Cinco puntos clave de inseguridad 1 5. Existe un evidente retraso en la aplicación de técnicas de cifrado sobre las bases de datos Estudio 2010 del Independent Oracle Users Group's

30 CIFRADO. Ubicación de los mecanismos Nivel de red IP sec Nivel de transporte SSL/TLS/WTLS SSH (Secure Shell) Nivel de aplicación ió Algoritmos de compresión Microsoft Office S/MIME (p. ej. Outlook)

31 CIFRADO DE LOS DATOS: Nivel aplicación Procesadores de textos Microsoft Office Word Adobe Acrobat Profesional Agentes de correo Microsoft Outlook Algoritmos de compresión WinRAR AES 128 WinZip Algoritmo propietario

32 AGE: Conexiones https frente a http 1 18% 82% https http Informe REINA 09

33 CIFRADO DE DATOS: Nivel de red (IP v.6, IPsec Internet

34 REGLAMENTO LOPD: Título VIII. Capítulo III MEDIDAS DE SEGURIDAD: Técnicas Autenticación de usuarios (Art. 93, 98) Control de accesos (Art. 91) Cifrado de información (Art. 101, 104) Registros de auditoria (Art. 103)

35 REGLAMENTO LOPD: Título VIII. Capítulo III CONTROL DE ACCESOS: Nivel básico (Art. 91) 1 Los usuarios tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones 2. [ ] 3. El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados

36 REGLAMENTO LOPD: Título VIII. Capítulo III CONTROL DE ACCESOS: Nivel básico (Art. 91) 4. Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los recursos, conforme a los criterios establecidos por el responsable del fichero

37 REGLAMENTO LOPD: Título VIII. Capítulo III MEDIDAS DE SEGURIDAD: Técnicas Autenticación de usuarios (Art. 93, 98) Control de accesos (Art. 91) Cifrado de información (Art. 101, 104) Registros de auditoria (Art. 103)

38 REGLAMENTO LOPD: Título VIII. Capítulo III REGISTRO DE ACCESOS: Nivel alto (Art. 103) Datos a guardar (103.1 y 103.2) Responsabilidad de su custodia (103.3) Periodo mínimo de conservación (103.4) Revisión mensual, informe y problemas (103. 5) Excepciones al registro (103. 6)

39 REGLAMENTO LOPD: Título VIII Disposición adicional única. Productos de software. Los productos de software destinados al tratamiento automatizado de datos personales deberán incluir en su descripción técnica el nivel de seguridad, básico, medio o alto, que permitan alcanzar de acuerdo con lo establecido en el título VIII de este reglamento

40 REGLAMENTO LOPD: Título VIII. Capítulo III MEDIDAS DE SEGURIDAD: Físicas Art. 99. Exclusivamente el personal autorizado en el documento de seguridad podrá tener acceso a los locales donde se encuentren los sistemas de información con datos de carácter personal

41 REGLAMENTO LOPD: Título VIII MEDIDAS DE SEGURIDAD: Organizativas Documento de seguridad Registro de incidenciasid i Gestión de soportes Copias de respaldo y recuperación Distribución de soportes Auditoría

42 I Jornada de Protección de Datos para Directivos de la Comunidad de Madrid Medidas de seguridad en los tratamientos de datos personales Arturo Ribagorda Garnacho 5 de octubre de 2010