Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad
|
|
- Ana Isabel Martín Pinto
- hace 8 años
- Vistas:
Transcripción
1 ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA (ICAI) INGENIERO EN ORGANIZACIÓN INDUSTRIAL Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad Autor: Sebastián Laiseca Segura Director: Francisco José Cesteros Garcia Madrid Mayo 2013 Mayo 2013
2
3 Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad INDICE RESUMEN DEL PROYECTO... 5 PROJECT SUMMARY I - INTRODUCCIÓN 15 II - LEGISLACIÓN 19 DIRECTIVAS EUROPEAS Y LEGISLACIÓN ESPAÑOLA SEGURIDAD DE LOS DATOS: PAYMENT CARD INDUSTRY DATA SECURITY STANDARD CONVENIO DE BUDAPEST 23/11/ FAMILIA DE NORMAS ISO NORMA ISO ISO CONCLUSIÓN III - CLASIFICACIÓN DE AMENAZAS 49 ESTADO GENERAL DE LOS ATAQUES INFORMÁTICOS 51 Encargado de seguridad PERCEPCIÓN DE LA SEGURIDAD DESDE DENTRO TEORÍA DE LA INFORMACIÓN Y TICS ATAQUES DE DENEGACIÓN DE SERVICIO ESTAFAS Y PHISING SEGURIDAD Y ATAQUES POR SOFTWARE IV MEDICIÓN E IMPACTO 75 RETORNO DE INVERSIÓN EN LOS ELEMENTOS DE LA SEGURIDAD INFORMÁTICA 75 Single Loss Expectancy, SLE Annual Rate of Occurrence, ARO Annual Loss Expectanty, ALE Return on Security Investment, ROSI Ejemplo de aplicación del cálculo del ROSI Limitaciones del ROSI IMPACTO Y COSTES SOCIAL CRITERIOS Y PROBLEMAS EN LA MEDICIÓN MODELO CAMBRIDGE: MEASURING THE COST OF CYBERCRIME Costes directos Costes Indirectos Costes de Defensa Costes para la sociedad Conclusiones del modelo de Cambridge MOVILIDAD EN LOS MEDIOS DE PAGO Alojamiento de la información sensible Cálculo de costes indirectos COSTE DE LA PRODUCTIVIDAD DE LOS CLIENTES Supuesto: Laiseca Segura, Sebastian 1
4 FRAUDE DE BANCA ONLINE Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad V - CONCLUSIONES BALANCE GENERAL DEL FRAUDE FUENTES DE INFORMACIÓN MEJORARA DE LA SEGURIDAD CONSIDERACIONES ÉTICAS MOTIVACIÓN DE LA ACTUACIÓN CONCIENCIA ÉTICA DEL EXPERTO EN SEGURIDAD INFORMÁTICA Laiseca Segura, Sebastian
5 Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad ÍNDICE DE FIGURAS Figura 0.0: Jerarquía de la normativa establecida en la constitución española... 6 Figura 0.1: Modelo presentado por Claude E. Shannon y Warren Weaver que describe un sistema en la teoría de la información Figura 0.2: Marco para el análisis de los costes de los delitos informáticos Figure 0.0: Hierarchy of the rules established in the Spanish Constitution Figure 0.1: Model presented by Claude E. Shannon and Warren Weaver, describing a system of information theory Figure 0.2: Framework for the analysis of the costs of cybercrime Figura 1.0: Ejemplo de sistema de cifrado por desplazamiento, o Código Cesar Figura 1.1: Fracción del PIB de EEUU producido por el sector de seguros y sector financiero. Fuente: US Bureau of Economic Analysis Figura 2.0: Clasificación de las multas en función del tipo de falta de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal Figura 2.1: Jerarquía de la normativa establecida en la constitución española Figura 2.2: Encuesta: Cómo sientes que está equipada actualmente la organización para almacenar y procesar los datos con respecto al cumplimento de requisitos y reglamentos legales?. Fuente: 2012 Global Financial Services Industry Security Survey Figura 2.3: Parte de los procedimientos de prueba para el requisito Nº1 de las normas PCI DSS Figura 2.4: Tabla de resultados del estudio de Security By Default: Bancos y SSL Quiénes aprueban? (Octubre 2010) Figura 2.3: Principio del PDCA. Asegura una mejora continua Figura 2.4: Relación entre las normas de la familia ISO Figura 3.0: Euro / Gbyte del terminal IPhone 5 de Apple Figura 3.1: Participantes de la encuesta del estudio de seguridad global 2012 de Deloitte Figura 3.2: Funciones que se le atribuyen al director de la seguridad de la información en una entidad financiera, fuente Deloitte Figura 3.3: relación entre el director de SI y el director de riesgo operativo de una entidad, según la encuesta realizada por Deloitte Figura 3.4: Nivel de percepción de amenazas de un ataque informático en una entidad financiera. Fuente: Encuesta Figura 3.5: Su organización ha experimentado algún tipo de ataque interno durante los últimos 12 meses?, fuente Deloitte Figura 3.6: Porcentaje del presupuesto global que una entidad financiera dedica a la privacidad. Fuente: 2012 Global Financial Services Industry Security Survey: Breaking Barriers Figura 3.7: Estado de la seguridad en las entidades financieras. Principales conclusiones de auditoría. Fuente: Deloitte Figura 3.8: A qué nivel está su compañía soportando el uso de dispositivos móviles?, fuente Deloitte Figura 3.9: Lo que las entidades financieras hacen para mantenerse al día en materia de cibercrimen a día de hoy. Fuente Deloitte Laiseca Segura, Sebastian 3
6 Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad Figura 3.10: Modelo presentado por Claude E. Shannon y Warren Weaver que describe un sistema en la teoría de la información Figura 3.11: Ordenador atacante, A, conectado a un red de computadores con el servidor objeto del ataque B, conectado a la misma red Figura 3.12: Modelo de Shannon de la información bajo un ataque de denegación de servicio Figura 3.13: Esquema básico de un ataque distribuido de denegación de servicio, DDOS Figura 3.14: Programa Low Orbit Ion Cannon, utilizado por Anonnymous para llevar a cabo un ataque DDoS Figura 3.15: Repercusión en las comunicaciones de una empresa tras sufrir un ataque DDOS. Fuente: McAfee Figura 3.16: Máximo ancho de banda de un ataque de denegación de servicio en Mbps. Source: Worldwide Infrastructure Security Report Figura 3.17: Esquema simplificado de conexiones de un keylogger físico de PS/2 a USB Figura 3.18: Número de ordenadores infectados por el virus Stuxnet Figura 4.0: Costes anuales (en millones de dólares), por industria, a causa de los ataques informáticos. Fuente: Instituto Ponemon Figura 4.1: Informe de McAfee sobre amenazas: Primer trimestre de Figura 4.2: Coste total del cibercrimen en 5 países. Fuente: Instituto Ponemon Figura 4.3: Costes externos en porcentaje y por países de una entidad al ser atacada. Fuente: Instituto Ponemon Figura 4.4: Costes internos en porcentaje y por países de una entidad al ser atacada. Fuente: Instituto Ponemon Figura 4.3: Marco para el análisis de los costes de los delitos informáticos Figura 4.4: Ejemplo de utilización de la tecnología desarrollada por Squareup para pagos con tarjeta de crédito mediante un Smartphone Figura 4.5: Fraude de las tarjetas de crédito por categorías en el Reino Unido entre los años 2004 y Figura 4.6: Lista de tiempos tras un ataque a gran escala al sector financiero Figura 4.7: Sueldo Medio, modal y mediano de la población española en el Fuente: INE Figura 4.8: Esquema básico de un taller con 5 centros de trabajo Figura 5.0: Gráfica para categorizar el tipo de información de los diferentes actores de la seguridad informática en el sector financiero para elaborar este proyecto fin de carrera Figura 5.1: Percepción de la amenaza en cuanto a origen de los ataques informáticos. Fuenta McAfee Unsecured Economies: Protecting Vital Information Laiseca Segura, Sebastian
7 Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad TECNOLOGÍAS DE LA SEGURIDAD EN IT Y SU APLICACIÓN EN EL SECTOR FINANCIERO, LA MOVILIDAD Y LA CIBERSEGURIDAD Autor: Laiseca Segura, Sebastián. Director: Cesteros García, Francisco José Entidad Colaboradora: ICAI Universidad Pontificia Comillas RESUMEN DEL PROYECTO No hay duda de que las nuevas tecnologías de la información, muy especialmente las basadas en la movilidad, están cada vez más integradas en la sociedad. Este proyecto final de carrera pretende contestar a la cuestión del impacto de un ataque informático en las entidades financieras. La primera cuestión que se presenta en este estudio es el marco legal vigente. La legislación aplicable a estas nuevas tecnologías es algo de suma importancia, ya que los deberes y responsabilidades de las entidades financieras en cuanto a la seguridad de la información es parte de algo mayor que su propia integridad. Esto se debe a que hoy en día las entidades financieras almacenan un sin fin de información crítica sobre todos sus clientes. Aquí se podría incluir desde los datos personales más íntimos hasta los credenciales de acceso de un cliente. Para poder realmente fijar un marco legal que pueda englobar a todas las tecnologías de la información aplicables a la industria financiera, hay que analizar una cantidad de leyes orgánicas, reales decretos, convenios, normas y demás. Por esta razón, en este proyecto se empieza por comentar el impacto de diferentes fuentes legales, siguiendo el esquema jerárquico vigente en el territorio español. Laiseca Segura, Sebastian 5
8 Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad Constitución Tratados Internacionales Leyes Leyes Orgánicas (Emanadas de las cortes) Leyes Ordinarias Leyes Reales decretos-leyes. (Actos con fuerza de ley Reales decretos legislativos. emanados del gobierno) Reales decretos (del Gobierno) Reglamentos Órdenes de las comisiones delegadas del Gobierno. Circulares, inferiores. instrucciones, etc., de las autoridades Figura 0.0: Jerarquía de la normativa establecida en la constitución española Posiblemente la fuente legal con más relevancia para este proyecto fin de carrera es la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, así como el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Hay un sin fin de estudios realizados sobre la LOPD y su reglamento de desarrollo, pero estos no suelen entrar en los aspectos técnicos que han de adoptarse en una entidad financiera. El problema de las leyes es su problema de adaptación a las nuevas tecnologías. Se ha de encontrar una ley que sea capaz de perdurar a los cambios tecnológicos, y que no requiera de una constante actualización tan pronto vayan produciéndose los cambios. Estos cambios pueden ser meramente incrementales, como por ejemplo el aumentar el numero de bits de una encriptación, a radicales; como por ejemplo las posibilidades de los Smartphones y la banca online. Por esta razón, la LOPD hace referencias continuamente al estado de la tecnología actual, salida fácil para tratar la problemática. Aquí es donde entra en juego el PCI DSS y sus estándares. Bien es verdad que estos estándares procedimentales están pensados exclusivamente para el pago con tarjetas de crédito. Aun así, se puede ampliar su aplicación al resto de actividades informáticas de una entidad financiera. Se debe ver como un referente mínimo de seguridad aplicables a toda la industria financiera. 6 Laiseca Segura, Sebastian
9 Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad Las normas ISO complementan a la LOPD y a los estándares PCI, al sentar las bases organizativas y de gestión de la seguridad informática en las entidades financieras. Existe una familia de normas específica para la seguridad informática, la familia de normas Actualmente se esta trabajando en una norma de aplicación específica para el sector financiero, la norma ISO 27015, y verá la luz en los próximos meses. La siguiente sección del proyecto clasifica las amenazas en el sector de la información. Se ha tratado de obtener una visión global de la situación mediante fuentes muy variadas. El problema de estas fuentes es que atienden a intereses particulares de las mismas. Parte del trabajo realizado en este proyecto fin de carrera ha sido el filtrado de la información disponible de las diferentes publicaciones desde un punto de vista crítico. El contrastar la información entre fuentes de distinta naturaleza ha sido parte del procedimiento habitual. Se introduce esta sección con una visión de la seguridad informática de las entidades financieras, vista desde la propia entidad. Para ello, las encuestas realizadas por Deloitte a las propias entidades financieras entre los años 2010 y 2012 han resultado indispensables. La realidad es que la concienciación de la seguridad informática esta cambiando el cuadro de la organización de los grandes bancos, mediante nuevos puestos que reportan directamente a los directivos de la entidad. Aun así, a la luz de los resultados de las encuestas, se muestra una incongruencia organizativa de las entidades financieras con su política de seguridad. La siguiente parte del proyecto pretende describir los ataques informáticos a los que están sometidas a diario las entidades financieras. Se recurre al modelo presentado por Claude E. Shannon y Warren Weaver que describe un sistema en la teoría de la información para contextualizar la naturaleza de los ataques relevantes. Figura 0.1: Modelo presentado por Claude E. Shannon y Warren Weaver que describe un sistema en la teoría de la información. Laiseca Segura, Sebastian 7
10 Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad Se hace especial hincapié en los ataques distribuidos de denegación de servicio, ya que su impacto en la sociedad es tremendamente elevado. En la cuarta sección de este proyecto fin de carrera, se lleva a cabo un estudio económico y social de los ataques informáticos. Se introduce el ROSI (return on security investment) para las entidades financieras. El ROSI, a diferencia del ROI (return on investment) si puede ser aplicado a las inversiones en seguridad. Se discute este indicador económico, pros y contras, y se propone un ejemplo de cálculo. En el siguiente apartado se introducen los problemas en las incongruencias de las fuentes, y se citan estudios con resultados de impacto global. Estudios que si bien proceden de fuentes fiables, un razonamiento lógico y crítico de los mismos pueden echar por tierra los resultados. Mediante la ayuda de un estudio de la universidad de Cambridge publicado en el año 2012 sobre los costes de la seguridad informática, se procede a diferenciar en más detalle los diferentes costes que pueden asociarse a los ataques informáticos. Se diferencian los costes directos de los costes indirectos, así como en quien repercuten los costes. Figura 0.2: Marco para el análisis de los costes de los delitos informáticos. Se finaliza la sección con una aplicación de este modelo a las tecnologías de la información referentes a la movilidad, así como una aproximación del modelo a la banca online. El último apartado del proyecto fin de carrera comprende las diferentes conclusiones del estudio llevado a cabo. Esto es, se realiza un balance general del fraude, se analiza en profundidad el problema de las fuentes de la información, y se proponen una serie de puntos de mejora para los diferentes actores del sector. 8 Laiseca Segura, Sebastian
11 Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad Desde un punto de vista de la organización industrial, y a raíz de la rápida evolución de las nuevas tecnologías, no se puede dejar de lado un estudio de la ética en cuanto a las actividades descritas en este proyecto fin de carrera. Por esta razón se incluyen las consideraciones éticas del conocimiento y de su aplicación. Laiseca Segura, Sebastian 9
12 10 Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad Laiseca Segura, Sebastian
13 Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad SECURITY TECHNOLOGIES IN I.T. AND THE APPLICATIONS FOR THE FINANCIAL SECTOR, MOBILITY AND CYBER SECURITY Author: Laiseca Segura, Sebastian. Director: Cesteros García, Francisco José Collaborating Entity: ICAI - Universidad Pontificia Comillas PROJECT SUMMARY There is no doubt that the new information technologies, particularly those based on mobility, are increasingly integrated into society. This final degree project aims to answer the question of the impact of a cyber attack on the financial institutions. The first issue presented in this study is the current legal framework. The applicable law to these new technologies is something very important, since the duties and responsibilities of the financial institutions, in terms of information security, are part of something larger than their own integrity. This is because today's financial institutions store endless critical information about all of their clients. This could include from personal data to the access credentials of a client. To effectively set a legal framework that can encompass all applicable information technologies on the financial industry, organic laws, royal decrees, agreements, rules and other sources of law should be analysed. For this reason, this project will start by commenting the impact of different legal sources, following the hierarchical law scheme applicable in the Spanish territory. Laiseca Segura, Sebastian 11
14 Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad Constitution International Treaties Laws Organic Laws. (Issued in the courts) Ordinary Laws. Laws Royal decree-laws. (Acts into law emanated Royal legislative decrees. from the goverment) Royal decrees Regulation (Government) Orders Government delegate committees. Circulars, instructions, etc, of the lower authorities Figure 0.0: Hierarchy of the rules established in the Spanish Constitution Possibly the most important legal source for this final degree project is the Organic Law 15/1999, of December 13, Protection of Personal Data and the Royal Decree 1720/2007, of 21 December, approving the Regulation implementing the Organic Law 15/1999 of 13 December on the protection of personal data. There are countless studies on the Data Protection Act and its implementing regulation, but these do not usually get into the technical aspects to be taken into account by a financial institution. The problem with the law is the problem of adaptation to the new technologies. The law has to find a way to endure technological changes, and make sure it does not require a constant update as soon changes occur, because they will. These changes may be merely incremental, such as increasing the number of bits of an encryption, or radical, such as Smartphones and possibilities of online banking. For this reason, the LOPD continually makes references to "the state of the current technology," easy way to treat the problem. This is where the PCI DSS and its standards come in play. Truth be told, these procedural standards were designed exclusively for credit card payments. Even so, one can extend its application to other IT activities within the financial industry. It should be seen as a benchmark minimum-security requirement applicable to the entire financial industry. ISO standards complement the Data Protection Act and PCI standards, laying the organizational and security management foundation within the financial institutions. There is a family of specific standards for computer security, family of standards. They are currently working on a specific application of these standards for the financial sector, ISO 27015, and should be released in the coming months. 12 Laiseca Segura, Sebastian
15 Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad The next section of the project classifies threats in the information sector. We have tried to get an overall picture of the situation through varied sources. The problem with this is that the sources serve specific interests. Part of the work done in this final degree project has been to filter the available information about the various publications, always from a critical standpoint. The contrast of the available information issued from different sources has been part of the standard procedure. This section is introduced with an overview of the information security for financial institutions, viewed from the inside. To do this, the surveys conducted by Deloitte to the financial institutions between 2010 and 2012 have been indispensable. The reality is that awareness of computer security is changing the picture of the organization of large banks, through new positions that report directly to the management of the institution. However, in light of the survey results, an inconsistency of the organization of the financial institutions and their security policy is shown. The next part of the project seeks to describe cyber attacks that are daily aimed towards the financial institutions. It uses the model presented by Claude E. Shannon and Warren Weaver, describing a system of information theory to contextualize the nature of relevant attacks. Figure 0.1: Model presented by Claude E. Shannon and Warren Weaver, describing a system of information theory. Special emphasis is placed on the distributed denial of service attacks, as the impact on society is extremely high. In the fourth section of this final project, economic and social studies of the attacks are carried out. The ROSI (return on security investment) is introduces for the financial institutions. The ROSI, unlike the ROI (return on investment) can be applied to security Laiseca Segura, Sebastian 13
16 Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad investments. This economic indicator is discussed, pros and cons, and a calculation example is proposed. The following section introduces the problems with the inconsistencies of the sources, and cites studies with global impact. As can be seen, logical and critical reasoning may scupper the results of trusted sources. With the help of a study from the University of Cambridge, published in 2012, on the costs of information security, the differentiation, in a more detailed way, of the various costs that may be associated with the attacks are commented. Special attention was given to differentiate direct costs indirect costs, as well as to who affect the costs. Figure 0.2: Framework for the analysis of the costs of cybercrime. The section ends with an application of this model to the information technology related to mobility, as well as a model approach to online banking. The last section of this final degree project covers the various conclusions of the conducted study. That is, its an overview of the current balance of cybercrime, the problems concerning the sources of information and proposes tasks for improvement for the different actors in the sector. From the point of view of the industrial organization, and because of the rapid development of new technologies, one cannot leave out a study of ethics in terms of the activities described in this final project. For this reason we include ethical considerations of knowledge and its application. 14 Laiseca Segura, Sebastian
17 Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad I - INTRODUCCIÓN Definiciones Ciberseguridad: El conjunto de herramientas, políticas, conceptos de seguridad, salvaguardas de seguridad, directrices, métodos de gestión de riesgos, acciones, formación, prácticas idóneas, seguros y tecnologías que pueden utilizarse para proteger los activos de la organización y los usuarios del ciberentorno 1 a) Por sistema informático se entiende todo dispositivo aislado o conjunto de dispositivos interconectados o relacionados entre sí, siempre que uno o varios de ellos permitan el tratamiento automatizado de datos en ejecución de un programa;2 b) por datos informáticos se entiende cualquier representación de hechos, información o conceptos de una forma que permita el tratamiento informático, incluido un programa diseñado para que un sistema informático ejecute una función;3 Los sistemas de la información, especialmente las nuevas tecnologías, son herramientas indispensables para la industria financiera. Son herramientas en el mismo sentido que una lija para a un ebanista, herramientas indispensables para llevar a cabo la generación de negocio. Lo importante no es la herramienta en si. Esta ha de ser suficientemente sencilla de utilizar como para que la generación de negocio no se vea frenada por su uso, pero suficientemente segura como para asegurar la información contra terceros. En las entidades financieras podemos encontrar un sin fin de claves de acceso y datos confidenciales para cada cliente. Desde el numero PIN de la tarjeta de crédito hasta la firma digital de una entidad. Esto es aun mayor si se analizan los paraísos fiscales. Los activos de la organización y sus usuarios son los dispositivos informáticos conectados, los usuarios, los servicios/aplicaciones, los sistemas de comunicaciones, las comunicaciones multimedios, y la totalidad de la información transmitida y/o almacenada en el ciberentorno. 4 Son los sistemas de información de las entidades financieras los que tendrán que velar porque esto se cumpla. Asegurar los canales de comunicación incluye el asegurar que la 1 Ponencia de Sr. Cesteros 14 de Mayo 2012 Convenio Europeo 23/11/ Convenio Europeo 23/11/ Ponencia de Sr. Cesteros 14 de Mayo Laiseca Segura, Sebastian 15
18 Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad información llega a su destino intacta, pero también incluye asegurar que la información se mantiene secreta e inaccesible para terceras partes. Esto no es nuevo, los casos antiguos más famosos de esto los podemos encontrar posiblemente en el antiguo imperio Romano bajo las ordenes de Julio Cesar. Bajo su mandato, los mensajeros del imperio recorrían las vías principales con mensajes codificados con lo que hoy se conoce como cifrado por desplazamiento o Código Cesar. Este método de cifrado era muy sencillo de cifrar y descifrar, consistía en desplazar el alfabeto tantas posiciones como fueran necesarias para que a simple vista el mensaje fuese ilegible para los enemigos de Roma. Figura 1.0: Ejemplo de sistema de cifrado por desplazamiento, o Código Cesar. Existen otras formas de aprovechar la información para ganar una guerra. No hace falta descifrar la información para tomar ventaja, basta con cortar las comunicaciones del enemigo para que acabe por rendirse. Cortar las comunicaciones entre la infantería y el cuartel general, aliados o refuerzos basta para desestabilizar al enemigo. En el caso de las entidades financieras, el impedir que estas puedan comunicarse con sus clientes constituye una tendencia que viene siendo cada vez más habitual con los ataques distribuidos de denegación de servicio. La idea de dejar incomunicado a un estado para hundirlo se puede identificar como el quid de la cuestión en los ataques DDoS. La importancia del sistema financiero de un estado No existe en Europa ningún estado en el que es sistema financiero no sea clave para el crecimiento del estado. Intentar esbozar el correcto funcionamiento de la economía de un estado sin tener en cuenta el saneamiento de su banca es impensable hoy en día. 16 Laiseca Segura, Sebastian
19 Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad Basta con echar un vistazo a las políticas monetarias de la unión europea para salir de la crisis actual. Todas las soluciones, a parte de un buen numero de ajustes presupuestarios, necesitan de un sistema bancario completamente saneado para poder seguir prestando crédito y reactivar la economía. Esto hace que cada vez más las entidades financieras ocupen una mayor relevancia en la economía de un país. Su correcto saneamiento es condición necesaria pero no suficiente para la buena marcha de la economía de un país. La figura anterior muestra lo que contribuyen los sectores financieros y de seguros a la economía de EEUU, se puede observar que esta cifra crece a lo largo de los últimos 60 años casi de una forma lineal. Por estos motivos, la seguridad de esta industria ha de estar asegurada. Figura 1.1: Fracción del PIB de EEUU producido por el sector de seguros y sector financiero. Fuente: US Bureau of Economic Analysis. Uno no puedo dejar de preguntarse a la hora de evaluar la seguridad de una entidad financiera que es lo que sucedería si cae la totalidad del sistema financiero de un estado como consecuencia de un ataque informático. Tal vez imaginarse esta situación tan dramática sirva para entender su importancia. En primer lugar, hay que tener en cuenta que esto como tal todavía no ha sucedido hasta la fecha, no se ha dado un colapso informático total del sistema financiero. En septiembre de 2012 entidades financieras de EEUU, entre las que se encontraban JPMorgan Chase & Co. Y Wells Fargo & Co., sufrieron severos ataques de denegación de servicio. Esto demostró la impotencia por parte de las mayores corporaciones del mundo para defenderse de un ataque informático del exterior, y además siendo avisadas con anterioridad. Laiseca Segura, Sebastian 17
20 Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad They had already declared they would hit these banks at these times, and still we are seeing that these banks are not able to handle these DDoS attacks, it s clear that the current infrastructure under the control of these banks is not good enough. 5 Hay que tener en cuenta que el verdadero impacto en la sociedad tras un ataque informático a una entidad financiera es difícil, sino imposible, de medir. Esto se debe a que el ataque incluye dos impactos. Impacto económico e impacto social. El impacto económico es muy dependiente del tipo de ataque llevado a cabo, así como de su éxito. No es fácil de medir directamente y las estimaciones en cuanto a la perdida de imagen de la empresa atacada tampoco se pueden cuantificar con exactitud. El impacto social es aun más difícil de medir. Aquí entran en juego variables que en un principio escapan del estudio de un proyecto fin de carrera, variables sociológicas. Existen similitudes en el impacto sociológico de la sociedad tras sufrir un colapso del sistema financiero y un ataque terrorista. 5 Ingeniero en Seguridad Informática de FireEye Inc. 18 Laiseca Segura, Sebastian
21 Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad II - LEGISLACIÓN Directivas europeas y legislación española España, como estado de derecho, cuenta con una legislación que concierne al tema de estudio de este proyecto fin de carrera. Las sucesivas directrices europeas que han ido fraguándose a lo largo de los últimos años han dado como resultado una serie de leyes orgánicas, ya aprobadas por las cortes, que tratan de ordenar los deberes y las responsabilidades de las empresas publicas y privadas con presencia en la red. Por esta razón, y para cimentar la base legal aplicable a las entidades financieras con presencia en la red, se discutirá la legislación que concierne a las entidades financieras ante un eventual ataque informático. Las leyes que se mencionan parten de las directivas europeas que han ido proponiéndose desde el parlamento europeo. De una forma resumida, una directiva europea es un documento elaborado por el parlamento europeo de obligado cumplimiento para todos los estados miembros. Las obligaciones de estas directivas europeas no tienen rango de ley por si solas, ya que son los estados los que a través de sus parlamentos tendrán que aprobar una ley de aplicación en su territorio que asegure el cumplimiento de la directiva europea. De esta forma se consigue que todos los países miembros cuenten con una ley similar. Es importante destacar que las directivas europeas suelen ser un poco más laxas en el contenido que las leyes de los estados miembros que surgen a raíz de estas, dejando así un margen a los estados a la hora de acotar una ley. Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Esta ley orgánica tiene por objeto garantizar y proteger el tratamiento de los datos personales. Se entiende para este estudio que las entidades financieras almacenan los datos de carácter personal de sus clientes para poder brindar un servicio. Por lo tanto, se comentarán los artículos que puedan aportar información relevante sobre la seguridad informática de las entidades financieras. Artículo 9. Seguridad de los datos. 1. El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los Laiseca Segura, Sebastian 19
22 Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural. El articulo anterior, aun siendo muy claro y conciso con las responsabilidades de una entidad financiera que trate con datos de sus clientes, resulta tremendamente vago al citar habida cuenta del estado de la tecnología. Al fin y al cabo es la tecnología empleada en la seguridad la que podrá asegurar la protección de los datos personales y financieros de un cliente. La medición del estado de la tecnología resultará muy complicada, al estar ésta en un perpetuo estado de cambio y progreso por parte de los sistemas de seguridad y de los atacantes. Por tanto, se presenta la necesidad de la existencia de una referencia exterior que busque estar siempre adaptándose y actualizándose a las ultimas tecnologías, sirviendo así de peritaje en caso de evocar el articulo 9 de la presente ley en una demanda judicial. El siguiente artículo, Art.44, hace referencia al tipo de infracción aplicable. Las infracciones graves de esta ley serán sancionadas con una multa de entre y euros. Los diferentes tipos de faltas serán sancionadas como se muestra en la siguiente figura. Figura 2.0: Clasificación de las multas en función del tipo de falta de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. El Art. 44 hace referencia a la vía reglamentaria para medir las condiciones de seguridad. Esto, aun siendo más especifico que en el Art. 9, no deja de resultar incompleto al no citar a la organización, administración o centro que tendrá que establecer las condiciones de seguridad mínimas acordes a esta ley. Más tarde se verá que las normas ISO 2700 complementan los aspectos técnicos de la LOPD. Artículo 44. Tipos de infracciones 3. Son infracciones graves: 20 Laiseca Segura, Sebastian
23 Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad h) Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen. Desde la perspectiva de una incidencia de seguridad, una entidad podría siempre barajar en legítima defensa la posibilidad de intentar aplicar el articulo 45.5 para reducir la infracción. Artículo 45. Tipo de sanciones 5) Si en razón de las circunstancias concurrentes, se apreciará una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho, el órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracción que proceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate Para entender la aplicación real de este artículo, se cita parte de una entrada6 en el blog de Gonzalo Salas Claver: La Audiencia Nacional, en su Sentencia de 15 de Octubre de 2.009, Fundamento Jurídico Cuarto, aplica el artículo 45.5 de la LOPD, entre otros elementos, por contar con unos procedimientos certificados por Aenor. Cito textualmente; Y también que la excelencia de los procedimientos y métodos de actuación seguidos por dicha empresa actora para el desarrollo de su actividad, ha sido certificada por AENOR, tal y como la misma acredita documentalmente. De todo lo cual es necesario concluir que concurre en el caso una cualificada disminución de la culpabilidad de tal entidad sancionada ( ) Esta Sentencia, abre un nuevo elemento de defensa y un nuevo componente para justificar la implantación de un sistema de gestión de la seguridad de la información, dentro de las compañías. Si bien se ha de tomar con las reservas debidas, no seamos temerarios y consideremos que porque una Sentencia haya considerado este elemento como aspecto justificativo para aplicar la disminución de la culpabilidad, pueda ser siempre empleado 6 como- medio- de- defensa- juridica.html Laiseca Segura, Sebastian 21
24 Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad Ley 59/2003, de 19 de diciembre, de firma electrónica. La siguiente ley incorpora al ordenamiento público español la Directiva 1999/93/CE del Parlamento Europeo y del Consejo del 13 de diciembre de Esta ley de firma electrónica fue aprobada con el objetivo de fomentar la rápida incorporación de las nuevas tecnologías de seguridad de las comunicaciones electrónicas en la actividad de las empresas, los ciudadanos y las Administraciones públicas. Establece un comportamiento a seguir por parte de las empresas públicas y privadas en cuanto a la obtención, tratamiento y suspensión de los certificados electrónicos. En cuanto a lo que concierne a este proyecto fin de carrera, se ha de mencionar brevemente el articulo 17. Como se puede observar, el siguiente artículo hace referencia a la protección de los datos personales, siendo por tanto la Ley Orgánica 15/1999, del 13 de diciembre, la ley que habrá que tener en cuenta para analizar las obligaciones en cuanto a la seguridad de los datos. Esta ley ya ha sido comentada en esta sección. Artículo 17. Protección de los datos personales. 1. El tratamiento de los datos personales que precisen los prestadores de servicios de certificación para el desarrollo de su actividad y los órganos administrativos para el ejercicio de las funciones atribuidas por esta ley se sujetará a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y en sus normas de desarrollo. El resto de los artículos de esta ley que puedan hacer referencia a los aspectos de la tecnología no son de interés para este estudio, ya que realmente hacen referencia a las obligaciones de los prestadores de servicios de certificación que expidan certificados electrónicos, sobre las obligaciones de las administraciones que expidan los certificados electrónicos y no de las empresas que traten dichos certificados. El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y el Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica, si bien hacen referencia a las medidas de seguridad informáticas ante diversos ataques, solo son aplicables a las administraciones públicas, por lo que no son objeto de estudio para este PFC. Siguiendo con un orden jerárquico de la normativa establecida en la constitución española, tabla X, se procede a discutir los reglamentos aplicables a este estudio. 22 Laiseca Segura, Sebastian
25 Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad Constitución Tratados Internacionales Leyes Leyes Orgánicas (Emanadas de las cortes) Leyes Ordinarias Leyes Reales decretos-leyes. (Actos con fuerza de ley Reales decretos legislativos. emanados del gobierno) Reales decretos (del Gobierno) Reglamentos Órdenes de las comisiones delegadas del Gobierno. Circulares, inferiores. instrucciones, etc., de las autoridades Figura 2.1: Jerarquía de la normativa establecida en la constitución española Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Las obligatoriedad de dicho reglamento para las entidades financieras queda patente tras las definiciones del artículo 5. Articulo 5. Definiciones. i) Encargado del tratamiento: La persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio. Este reglamento introduce por primera vez un elemento de gran utilidad para el estudio de este proyecto: los códigos tipo. En el Título VII, artículo 71, se introduce este concepto. Posiblemente lo más destacado del siguiente artículo es el punto dos, en donde establece que un código tipo es vinculante para el que se adhiera al mismo. Tras este punto, aparecen una serie de normas como las normas de la familia ISO 27000, que como se verá más adelante, marcaran el estado de la tecnología al que se viene haciendo referencia en este estudio al ser incorporadas en los códigos tipo. Laiseca Segura, Sebastian 23
26 Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad Artículo 71. Objeto y naturaleza. 1. Los códigos tipo a los que se refiere el artículo 32 de la Ley Orgánica 15/1999, de 13 de diciembre, tienen por objeto adecuar lo establecido en la citada Ley Orgánica y en el presente reglamento a las peculiaridades de los tratamientos efectuados por quienes se adhieren a los mismos. A tal efecto, contendrán reglas o estándares específicos que permitan armonizar los tratamientos de datos efectuados por los adheridos, facilitar el ejercicio de los derechos de los afectados y favorecer el cumplimiento de lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, y el presente reglamento. 2. Los códigos tipo tendrán el carácter de códigos deontológicos o de buena práctica profesional y serán vinculantes para quienes se adhieran a los mismos. También es importante saber que en el articulo 72, punto 1, se establece que los códigos tipo tendrán carácter voluntario. Los siguientes artículos, regulan los códigos tipo de la siguiente manera Artículo 73. Contenido. Artículo 74. Compromisos adicionales. Artículo 75. Garantías del cumplimiento de los códigos tipo. Artículo 76. Relación de adheridos. Artículo 77. Depósito y publicidad de los códigos tipo. Artículo 78. Obligaciones posteriores a la inscripción del código tipo. El siguiente título de este reglamento, título VIII, trata sobre las medidas de seguridad en el tratamiento de datos de carácter personal. De aquí se podrá extraer información muy valiosa para este proyecto fin de carrera. A este título se hará referencia continuamente a lo largo de este estudio, por lo que se ha incluido el título completo en el anexo X. En el artículo 80 se diferencian entre tres niveles de seguridad; básico, medio y alto. La clasificación de estos niveles de seguridad viene recogidos en el articulo 81. Son de especial interés para este estudio los puntos 1 y 2 de este artículo, en donde se establece que para las entidades financieras se aplicara el nivel de seguridad medio. 24 Laiseca Segura, Sebastian
27 Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad Artículo 81. Aplicación de los niveles de seguridad. 1. Todos los ficheros o tratamientos de datos de carácter personal deberán adoptar las medidas de seguridad calificadas de nivel básico. 2. Deberán implantarse, además de las medidas de seguridad de nivel básico, las medidas de nivel medio, en los siguientes ficheros o tratamientos de datos de carácter personal: a) Los relativos a la comisión de infracciones administrativas o penales. b) Aquellos cuyo funcionamiento se rija por el artículo 29 de la Ley Orgánica 15/1999, de 13 de diciembre. c) Aquellos de los que sean responsables Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias. d) Aquéllos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros. Como es evidente, la interconexión de las entidades financieras, ya sea en una red local o pública, esta más que extendida. Los ataques informáticos a los que son susceptibles las entidades se producen en gran medida por las redes de telecomunicación. Existen otros medios de llevar a cabo un ataque informático sin pasar por una red de comunicación, como por ejemplo el tener un acceso físico al servidor de la entidad. El artículo 85 establece que las medidas de seguridad tienen que poder garantizarse también en las redes de telecomunicaciones. Bien es verdad que aunque este punto es evidente si se habla de la seguridad informática de una entidad, viene tipificado en la ley. Artículo 85. Acceso a datos a través de redes de comunicaciones. Las medidas de seguridad exigibles a los accesos a datos de carácter personal a través de redes de comunicaciones, sean o no públicas, deberán garantizar un nivel de seguridad equivalente al correspondiente a los accesos en modo local, conforme a los criterios establecidos en el artículo 80. En cuanto a la portabilidad de los datos entra en juego el siguiente artículo. Artículo 86. Régimen de trabajo fuera de los locales del responsable del fichero o encargado del tratamiento. 1. Cuando los datos personales se almacenen en dispositivos portátiles o se traten fuera de los locales del responsable de fichero o tratamiento, o del encargado del tratamiento será preciso que exista una autorización previa del responsable del fichero Laiseca Segura, Sebastian 25
28 Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad o tratamiento, y en todo caso deberá garantizarse el nivel de seguridad correspondiente al tipo de fichero tratado. 2. La autorización a la que se refiere el párrafo anterior tendrá que constar en el documento de seguridad y podrá establecerse para un usuario o para un perfil de usuarios y determinando un periodo de validez para las mismas. Este articulo resulta tremendamente importante si se tiene en cuenta que los datos personales de los clientes de las entidades financieras también se encuentran, o son accesibles, mediante el uso de otros dispositivos electrónicos; Smartphones, tabletas o portátiles. Además, el Artículo 87; Ficheros temporales o copias de trabajo de documentos, establece que cualquier copia de los datos estará sujeta a lo establecido en el artículo 81, es decir, se tendrá que aplicar el mismo nivel de seguridad que los datos originales. Este mismo reglamento introduce en el artículo 88, el documento de seguridad. Este documento recogerá las medidas de índole técnica y organizativa acordes a la normativa de seguridad vigente, que será de obligado cumplimiento para el personal con acceso a los sistemas de información. El documento se supone como un documento interno de la organización. Los dos últimos artículos del reglamento del desarrollo de la LOPD de interés para este estudio tratan sobre la identificación y autenticación de los usuarios de la base de datos o fichero donde se almacenen los datos personales. El siguiente artículo es de aplicación para un nivel de seguridad básico, por lo tanto también se aplica a las entidades financieras que cuentan con un nivel de seguridad medio. Artículo 93. Identificación y autenticación. 1. El responsable del fichero o tratamiento deberá adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios. 2. El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado. 3. Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad. 4. El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras estén vigentes, se almacenarán de forma ininteligible. El siguiente artículo concierne a los sistemas de seguridad de nivel medio. 26 Laiseca Segura, Sebastian
29 Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad Artículo 98. Identificación y autenticación. El responsable del fichero o tratamiento establecerá un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información. En resumen, las entidades financieras tendrán que garantizar la seguridad de los datos personales, aunque tampoco se ha hablado de procedimientos ni del estado de la tecnología en el reglamento. Es por tanto a través de las auditorias y de los códigos tipo anteriormente mencionados, lo que hará que las empresas tengan que seguir invirtiendo en seguridad. Para finalizar este apartado, procede mostrar el resultado de la encuesta anual llevada a cabo por Deloitte en cuanto a la seguridad informática de las entidades financieras en el A la pregunta: Cómo sientes que está equipada actualmente la organización para almacenar y procesar los datos con respecto al cumplimento de requisitos y reglamentos legales? Menos de un 50% de los encuestados afirmaron tener constancia de que las medidas de seguridad de la entidad financiera de la cual es responsable cuentan con medidas acordes a la legalidad. Figura 2.2: Encuesta: Cómo sientes que está equipada actualmente la organización para almacenar y procesar los datos con respecto al cumplimento de requisitos y reglamentos legales?. Fuente: 2012 Global Financial Services Industry Security Survey. Laiseca Segura, Sebastian 27
1. RESUMEN DEL PROYECTO
TECNOLOGÍAS DE LA SEGURIDAD EN IT Y SU APLICACIÓN EN EL SECTOR FINANCIERO, LA MOVILIDAD Y LA CIBERSEGURIDAD Autor: Laiseca Segura, Sebastián. Director: Cesteros García, Francisco José Entidad Colaboradora:
Más detallesREGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES
REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES Artículo 1.- Ámbito de aplicación y fines. El presente Reglamento
Más detalles5.1 REGISTRO DE FICHEROS... 5. 5.1.1 Análisis de los datos tratados... 5 5.1.2 Inscripción de los ficheros... 5
1 INTRODUCCION... 3 2 PROTECCIÓN DE DATOS... 4 3 NORMATIVA BÁSICA REGULADORA... 4 4 AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS... 4 5 OBLIGACIONES DE LAS EMPRESAS.... 5 5.1 REGISTRO DE FICHEROS... 5 5.1.1
Más detallesAviso Legal. Entorno Digital, S.A.
Aviso Legal En relación al cumplimiento de la Ley de Protección de Datos, le informamos que los datos personales facilitados por Ud. en cualquiera de los formularios incluidos en este sitio web son incluidos
Más detallesSeguridad en el manejo de la información asociada a las muestras (Ficheros automatizados) Granada 06/11/2012
Seguridad en el manejo de la información asociada a las muestras (Ficheros automatizados) Granada 06/11/2012 Seguridad en el manejo de la información Introducción El sistema de información que utilicemos
Más detallesCÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD
CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD BUCARAMANGA - COLOMBIA 2013 INTRODUCCIÓN El presente Documento, ha sido redactado en cumplimiento de lo dispuesto en la Ley 1581 de 2012 y el Decreto
Más detallesConservación de datos de carácter personal relativos a los números de tarjeta de crédito de clientes. Informe 127/2006
Conservación de datos de carácter personal relativos a los números de tarjeta de crédito de clientes. Informe 127/2006 La consulta se refiere al mantenimiento, conservación y cancelación del número de
Más detallesDiputación de Albacete. Paseo Libertad, 5. 02001. Albacete. Tel. 967595300. Fax. 967520316. Guía
Diputación de Albacete. Paseo Libertad, 5. 02001. Albacete. Tel. 967595300. Fax. 967520316 Guía 12 Obligaciones del responsable de seguridad exigibles por la LOPD Cesión de datos Es cesión o comunicación
Más detallesLey de Protección de Datos
Ley de Protección de Datos Os informamos de las obligaciones y plazos que la normativa en esta materia nos impone para los ficheros de clientes que tenemos en nuestras consultas dentales: En primer lugar,
Más detalles2.2 Política y objetivos de prevención de riesgos laborales de una organización
Gestión de la prevención en la obra 2. La gestión de la prevención de riesgos laborales en las empresas constructoras. Aspectos generales 2.1 Generalidades El objetivo de este libro es definir la gestión
Más detallesLey Orgánica de Protección de Datos
Hécate GDocS Gestión del documento de seguridad Ley Orgánica de Protección de Datos 2005 Adhec - 2005 EFENET 1. GDocS - Gestión del Documento de Seguridad GDocS es un programa de gestión que permite mantener
Más detallesDOCUMENTO DE SEGURIDAD
CÁMARA DE COMERCIO DE OCAÑA DOCUMENTO DE SEGURIDAD Ocaña Norte de Santander 2014 INTRODUCCIÓN El presente Documento, ha sido redactado en cumplimiento de lo dispuesto en la Ley 1581 de 2012 y el Decreto
Más detallesSEGURIDAD DE LA INFORMACIÓN
SEGURIDAD DE LA INFORMACIÓN La información es el principal activo de muchas organizaciones por lo que es necesario protegerla adecuadamente frente a amenazas que puedan poner en peligro la continuidad
Más detallesREGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL
13967 REAL DECRETO 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal. El artículo 18.4 de la Constitución
Más detallesFicheros creados al amparo de la Ley 12/2003, de 21 de mayo, de prevención y bloqueo de la financiación del terrorismo.
Ficheros creados al amparo de la Ley 12/2003, de 21 de mayo, de prevención y bloqueo de la financiación del terrorismo. Informe 364/2006 La consulta plantea, si le resulta de aplicación al tratamiento
Más detallesEn el artículo del mes pasado,
144 UNE ISO/IEC 27001: 2005 & LOPD (II) EN ESTE NÚMERO PRESENTAMOS LA TABLA COMPLETA, EN LA CUAL SE RELACIONAN TODOS LOS S DE ESTE NUEVO REGLAMENTO Alejandro Corletti DIRECTOR DIVISIÓN SEGURIDAD INFORMÁTICA
Más detallesESTATUTO DE AUDITORIA LOPD PARA EL AYUNTAMIENTO DE ZARZADILLA DE PAR
ESTATUTO DE AUDITORIA LOPD PARA EL AYUNTAMIENTO DE ZARZADILLA DE PAR LA LOPD Y SU ÁMBITO DE APLICACIÓN La Ley Orgánica de Protección de Datos (LOPD) se aplica a todos los datos de carácter personal registrados
Más detallesUna Inversión en Protección de Activos
DERECHO A LA INTIMIDAD Le ayudamos a garantizar y proteger las libertades públicas y los derechos fundamentales de las personas físicas SEGURIDAD DE LA INFORMACION Auditoria Bienal LOPD Una Inversión en
Más detallesInfraestructura Extendida de Seguridad IES
Infraestructura Extendida de Seguridad IES BANCO DE MÉXICO Dirección General de Sistemas de Pagos y Riesgos Dirección de Sistemas de Pagos INDICE 1. INTRODUCCION... 3 2. LA IES DISEÑADA POR BANCO DE MÉXICO...
Más detallesEstándares y Normas de Seguridad
Estándares y Normas de Seguridad Por qué normas/estándares de seguridad? Las organizaciones necesitan (en ocasiones deben) demostrar que realizan una gestión competente y efectiva de la seguridad de los
Más detallesGabinete Jurídico. Informe 0600/2009
Informe 0600/2009 Se plantea en primer lugar, si el consultante, centro médico privado que mantiene un concierto con la Administración de la Comunidad autónoma para asistencia a beneficiarios de la Seguridad
Más detallesEstado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2
Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...
Más detallesEl artículo 45 del Reglamento antes citado, desarrolla este precepto, precisando lo siguiente:
Informe 0105/2010 La consulta plantea si resulta conforme a la normativa de protección de datos el envío de comunicaciones publicitarias, relativas a los servicios que presta la empresa consultante, a
Más detallesGabinete Jurídico. Informe 0298/2009
Informe 0298/2009 La consulta plantea diversas dudas respecto a la aplicación de la Ley 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal en materia de creación, condición de responsable
Más detallesComunicación de datos incorporados a un expediente administrativo. Informe.197/2006
Comunicación de datos incorporados a un expediente administrativo. Informe.197/2006 La consulta plantea si resulta posible, a la luz de lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección
Más detallesMódulo 7: Los activos de Seguridad de la Información
Módulo 7: Los activos de Seguridad de la Información Se explica en este tema cómo deben abordarse la elaboración de un inventario de activos que recoja los principales activos de información de la organización,
Más detalles1.- Objetivo y descripción del funcionamiento
INFORME SOBRE LA PROTECCIÓN DE DATOS LIVECAM-PRO S.L. 1.- Objetivo y descripción del funcionamiento El presente informe tiene por objetivo elaborar recomendaciones y establecer pautas encaminadas a informar
Más detallesC/ ACEBO 33 POZUELO DE ALARCON 28224 - MADRID TELEFONO (91) 715 59 55. Curso
CEDS CENTRO DE ESTUDIOS Y DISEÑO DE SISTEMAS C/ ACEBO 33 POZUELO DE ALARCON 28224 - MADRID TELEFONO (91) 715 59 55 Curso Proyectos de Adecuación de los Sistemas Informáticos a la LOPD, RD 1720:2007 y LSSI
Más detallesCONTRALORIA GENERAL DE LA REPUBLICA UNIDAD DE TECNOLOGIAS DE INFORMACION POLITICAS DE USO DE LA RED INALAMBRICA INSTITUCIONAL
CONTRALORIA GENERAL DE LA REPUBLICA UNIDAD DE TECNOLOGIAS DE INFORMACION POLITICAS DE USO DE LA RED INALAMBRICA INSTITUCIONAL AÑO 2009 1 POLITICAS DE USO DE LA RED INALAMBRICA INSTITUCIONAL 1. INTRODUCCION.
Más detallesGeneralitat de Catalunya Departament de Medi Ambient Direcció General de Qualitat Ambiental
El 24 de abril de 2001, se publicó el Reglamento (CE) núm. 761/2001, del Parlamento Europeo y del Consejo, de 19 de marzo de 2001, por el que se permite que las organizaciones se adhieran con carácter
Más detallesINFORME UCSP Nº: 2011/0070
MINISTERIO DE LA POLICÍA CUERPO NACIONAL DE POLICÍA COMISARÍA GENERAL DE SEGURIDAD CIUDADANA INFORME UCSP Nº: 2011/0070 FECHA 07/07/2011 ASUNTO Centro de control y video vigilancia integrado en central
Más detallesCÓDIGO DE CONDUCTA PARA LA SEPARACIÓN DE LAS ACTIVIDADES REGULADAS EN EL SECTOR DE LA ELECTRICIDAD EN ESPAÑA. 13 de marzo de 2015
CÓDIGO DE CONDUCTA PARA LA SEPARACIÓN DE LAS ACTIVIDADES REGULADAS EN EL SECTOR DE LA ELECTRICIDAD EN ESPAÑA 13 de marzo de 2015 SUMARIO 1. Introducción. 2. Objeto. 3. Ámbito de aplicación. 4. Medidas
Más detallesCoordinación de actividades empresariales
Coordinación de actividades empresariales Plan General de Actividades Preventivas de la Seguridad Social 2013 Sumario 1. Introducción 3 Qué es? Objetivo Tipos de empresarios 2. Supuestos de concurrencia
Más detallesPolítica General de Control y Gestión de Riesgos
Empresas Inarco Política General de Control y Gestión de Riesgos Auditoría Interna 2014 POLITICA GENERAL DE CONTROL Y GESTION DE RIESGOS EMPRESAS INARCO La Política General de Control y Gestión de Riesgos,
Más detallesAPLICACIÓN DEL R.D. 1627/97 A OBRAS SIN PROYECTO
COMISIÓN NACIONAL DE SEGURIDAD Y SALUD EN EL TRABAJO GRUPO DE TRABAJO DE CONSTRUCCIÓN SUBGRUPO DE OBRAS SIN PROYECTO APLICACIÓN DEL R.D. 1627/97 A OBRAS SIN PROYECTO 1.- INTRODUCCIÓN En la reunión celebrada
Más detallesCOMENTARIO A LEY 20/2007, DE 11 DE JULIO, DEL ESTATUTO DEL TRABAJADOR AUTÓNOMO, SOBRE ASPECTOS DE LA SEGURIDAD Y SALUD LABORAL
COMENTARIO A LEY 20/2007, DE 11 DE JULIO, DEL ESTATUTO DEL TRABAJADOR AUTÓNOMO, SOBRE ASPECTOS DE LA SEGURIDAD Y SALUD LABORAL 1.- LA SITUACIÓN DEL TRABAJADOR AUTÓNOMO EN MATERIA DE PREVENCIÓN DE RIESGOS
Más detallesCOMO AUDITAR EL CUMPLIMIENTO DE LA LORTAD /LOPD / REGLAMENTO DE SEGURIDAD. Rafael Bernal, CISA. Universidad Politécnica de Valencia
COMO AUDITAR EL CUMPLIMIENTO DE LA LORTAD /LOPD / REGLAMENTO DE SEGURIDAD Rafael Bernal, CISA Universidad Politécnica de Valencia El Reglamento de medidas de seguridad exige para los ficheros de nivel
Más detallesRegistro de Contratos de seguro con cobertura de fallecimiento. Informe 125/2006
Registro de Contratos de seguro con cobertura de fallecimiento. Informe 125/2006 La consulta plantea tres cuestiones relacionadas con la aplicación de la Ley 20/2005, de 14 de noviembre, de creación del
Más detallesAnexo I. Politicas Generales de Seguridad del proyecto CAT
Anexo I Politicas Generales de Seguridad del proyecto CAT 1 Del Puesto de Servicio. Se requiere mantener el Puesto de Servicio: a) Disponible, entendiendo por ello que el Puesto de Servicio debe estar
Más detallesDOCUMENTO DE SEGURIDAD EMPRESA DE EJEMPLO SL
DOCUMENTO DE SEGURIDAD EMPRESA DE EJEMPLO SL Fecha de version: 27/02/2008 El presente Documento y sus Anexos, redactados en cumplimiento de lo dispuesto en el Reglamento de Medidas de Seguridad (Real Decreto
Más detallesNº Delegados de Prevención
NOTAS 1.1 1 Se constituirá un Comité de Seguridad y Salud en todas las empresas o centros de trabajo que cuenten con 50 o más trabajadores. El Comité de Seguridad y Salud es el órgano paritario y colegiado
Más detallesAGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS MODELO DE DOCUMENTO DE SEGURIDAD
AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS MODELO DE DOCUMENTO DE SEGURIDAD Versión 1.0 Abril 2005 INTRODUCCIÓN El artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter
Más detallesAGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS MODELO DE DOCUMENTO DE SEGURIDAD
AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS MODELO DE DOCUMENTO DE SEGURIDAD Versión 1.0 Abril 2005 INTRODUCCIÓN El artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter
Más detallesCONCLUSIONES. De la información total que acabamos de facilitar al lector podemos realizar el siguiente resumen:
CONCLUSIONES De la información total que acabamos de facilitar al lector podemos realizar el siguiente resumen: 1º. Ha habido un incremento en el número total de consultas y reclamaciones ante las asociaciones
Más detallesContabilidad. BASE DE DATOS NORMACEF FISCAL Y CONTABLE Referencia: NFC051331 ICAC: 01-06-2014 Consulta 2 BOICAC, núm. 98 SUMARIO:
BASE DE DATOS NORMACEF FISCAL Y CONTABLE Referencia: NFC051331 ICAC: 01-06-2014 Consulta 2 BOICAC, núm. 98 SUMARIO: PRECEPTOS: Auditoría de cuentas. Contratación y rotación el auditor. Sobre determinados
Más detallesORGAN/000006-01. BOCCYL, n.º 502, de 30 de enero de 2015
Resolución de la Mesa de las Cortes de Castilla y León, de 27 de enero de 2015, por la que se regulan las condiciones para el acceso electrónico y gestión electrónica en la administración de las Cortes
Más detallesGabinete Jurídico. Informe 0545/2009
Informe 0545/2009 La consulta plantea diversas dudas respecto a la aplicación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), a la prestación
Más detallesNORMA TÉCNICA DE AUDITORÍA SOBRE CONSIDERACIONES RELATIVAS A LA AUDITORÍA DE ENTIDADES QUE EXTERIORIZAN PROCESOS DE ADMINISTRACIÓN
Resolución de 26 de marzo de 2004, del Instituto de Contabilidad y Auditoría de Cuentas, por la que se publica la Norma Técnica de Auditoría sobre consideraciones relativas a la auditoría de entidades
Más detallesProcedimiento para la para la coordinación de actividades empresariales en instalaciones de la universidad
Página: 1/17 Procedimiento para la para la coordinación Índice 1. OBJETO... 2 2. CLIENTES / ALCANCE... 2 3. NORMATIVA... 2 4. RESPONSABLES... 3 5. DESCRIPCIÓN DEL PROCESO... 3 6. DIAGRAMA DE FLUJO... 13
Más detallesL.O.P.D. Ley Orgánica de Protección de Datos
L.O.P.D. Ley Orgánica de Protección de Datos Texto de la ley El artículo 18.4 de la Constitución Española establece que la ley limitará el uso de la informática para garantizar el honor y la intimidad
Más detalles1. Gestión Prevención
1. Gestión Prevención 1.2 Guía de Actuación Inspectora en la coordinación de Actividades Empresariales SUBSECRETARIA 1. CONCURRENCIA DE TRABAJADORES DE VARIAS EMPRESAS EN UN CENTRO DE TRABAJO El artículo
Más detallesMODELO DE CLÁUSULA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y MEDIDAS DE SEGURIDAD
MODELO DE CLÁUSULA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y MEDIDAS DE SEGURIDAD 1. Prestaciones y propiedad de los datos En el contexto de la prestación de servicios encargada por..y con la finalidad
Más detallesCN09-058 ANTECEDENTES
CN09-058 DICTAMEN QUE SE EMITE EN RELACIÓN A LA CONSULTA PLANTEADA POR XXXXX DEL DEPARTAMENTO DE HACIENDA Y FINANZAS DE LA DIPUTACIÓN FORAL DE XXXXX EN RELACIÓN A LAS AUTORIZACIONES PREVISTAS EN EL ARTÍCULO
Más detallesTALLER DE PROTECCIÓN DE DATOS: Aplicación práctica de la LOPD para PYMES. Palencia, 14 de febrero de 2008
TALLER DE PROTECCIÓN DE DATOS: Aplicación práctica de la LOPD para PYMES. Palencia, 14 de febrero de 2008 LOPD OPORTUNIDAD PARA LA ORGANIZACIÓN Actuaciones Internas: 2 Medidas de Seguridad Procedimientos
Más detalles2.11.1 CONTRATAS Y SUBCONTRATAS NOTAS
NOTAS 1 Cuando en un mismo centro de trabajo desarrollen actividades trabajadores de dos o más empresas, éstas deberán cooperar en la aplicación de la normativa sobre prevención de riesgos laborales. A
Más detallesSegundo Taller Práctico LOPD: Obligaciones técnico-organizativas y medidas de seguridad. Documento de Seguridad. Auditorías bienales
Segundo Taller Práctico LOPD: Obligaciones técnico-organizativas y medidas de seguridad. Documento de Seguridad. Auditorías bienales Vitoria Gasteiz a 9 de julio de 2.014 Objetivos específicos de este
Más detallesANTECEDENTES La Ley Orgánica de Protección de Datos de Carácter Personal 15/1999 (LOPD) y su Reglamento de Desarrollo RD 1720/07 en cumplimiento del mandato Constitucional previsto en el Artículo 18, garantiza
Más detallesINTRODUCCIÓN CONTENIDO
Página 1 de 9 INTRODUCCIÓN El presente Documento, ha sido redactado en cumplimiento de lo dispuesto en la Ley 1581 de 2012 y el Decreto Reglamentario 1377 de 2013 el cual recoge las medidas de índole técnica
Más detallesTratamiento de datos en Web de contactos. Informe 469/2006
Tratamiento de datos en Web de contactos. Informe 469/2006 La consulta plantea diversas cuestiones en relación con la aplicación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de
Más detallesutilización de videocámaras por las Fuerzas y Cuerpos de Seguridad, de conformidad con la legislación sobre la materia.
Informe 0314/2009 I La primera cuestión que resulta de la consulta es la relativa a la normativa aplicable al tratamiento de datos mediante cámaras de videovigilancia. Se consulta, en particular, en que
Más detallesANEXO EVALUACIÓN Y SEGUIMIENTO DEL PLAN DE EXTREMADURA. A. CRITERIOS RECTORES DEL PROCESO DE REVISIÓN DEL PLAN DE CAULIFICACIONES Y FP DE EXTREMADURA.
ANEXO EVALUACIÓN Y SEGUIMIENTO DEL PLAN DE EXTREMADURA. A. CRITERIOS RECTORES DEL PROCESO DE REVISIÓN DEL PLAN DE CAULIFICACIONES Y FP DE EXTREMADURA. La exigencia de autoevaluación forma ya, hoy día,
Más detallesCOMISIÓN NACIONAL DEL MERCADO DE VALORES
COMISIÓN NACIONAL DEL MERCADO DE VALORES De conformidad con lo establecido en la Ley del Mercado de Valores, TR HOTEL JARDÍN DEL MAR, S.A. comunica el siguiente HECHO RELEVANTE En cumplimiento de lo previsto
Más detallesSistemas de Gestión de Calidad. Control documental
4 Sistemas de Gestión de Calidad. Control documental ÍNDICE: 4.1 Requisitos Generales 4.2 Requisitos de la documentación 4.2.1 Generalidades 4.2.2 Manual de la Calidad 4.2.3 Control de los documentos 4.2.4
Más detalles4.4.1 Servicio de Prevención Propio.
1 Si se trata de una empresa entre 250 y 500 trabajadores que desarrolla actividades incluidas en el Anexo I del Reglamento de los Servicios de Prevención, o de una empresa de más de 500 trabajadores con
Más detallesDOCV nº 6459, de 14 de febrero de 2011
ORDEN 1/2011, de 4 de febrero, de la Conselleria de Infraestructuras y Transporte, por la que se regula el Registro de Certificación de Eficiencia Energética de Edificios. DOCV nº 6459, de 14 de febrero
Más detallesSistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001
Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Aníbal Díaz Gines Auditor de SGSI Certificación de Sistemas Applus+ Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC
Más detallesDESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL
DESCRIPCIÓN DEL PROCESO DE RIESGO Julio 10, de 2012 INDICE Proceso Riesgo Operacional... 1 Objetivo General... 1 Objetivos Específicos... 1 I. Identificación del Riesgo.... 1 II. Medición y Mitigación
Más detallesNorma de uso Identificación y autentificación Ministerio del Interior N02
Norma de uso Identificación y autentificación Ministerio del Interior N02 Introducción Propósito. El acceso a la información de los sistemas del Ministerio del Interior será solo otorgado a usuarios identificados
Más detallesINFORME: PROTECCION DE DATOS OBLIGACIONES Y SANCIONES
Noviembre 2002 INFORME: PROTECCION DE DATOS OBLIGACIONES Y SANCIONES OBLIGACIONES LEGALES DE LA NORMATIVA DE PROTECCION DE DATOS: Inscripción de los ficheros: Toda empresa que para el logro de su actividad
Más detallesPOLÍTICA DE PRIVACIDAD DE LA SEDE ELECTRÓNICA DE LA AUTORIDAD PORTUARIA DE VALENCIA
POLÍTICA DE PRIVACIDAD DE LA SEDE ELECTRÓNICA DE LA AUTORIDAD PORTUARIA DE VALENCIA 1. Previo En cumplimiento de lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter
Más detallesDOSSIER DE SERVICIOS [hello customer!] [Diseño web Programación a medida Posicionamiento SEO Bases de datos 3D LOPD Marketing Móvil]
DOSSIER DE SERVICIOS [hello customer!] [Diseño web Programación a medida Posicionamiento SEO Bases de datos 3D LOPD Marketing Móvil] Página 1 de 8 Introducción En Utopía nos dedicamos al desarrollo de
Más detallesIntroducción En los años 60 s y 70 s cuando se comenzaron a utilizar recursos de tecnología de información, no existía la computación personal, sino que en grandes centros de cómputo se realizaban todas
Más detallesBolsa POLÍTICA DE EJECUCIÓN DE ÓRDENES BANESTO BOLSA
BANESTO BOLSA INDICE 1. ALCANCE... 3 2. AMBITO DE APLICACIÓN... 4 3. CONSIDERACIÓN DE FACTORES... 6 a. Precio... 6 b. Costes... 6 c. Rapidez... 6 d. Probabilidad de la ejecución y la liquidación... 6 e.
Más detallesNormas de Uso y Seguridad de la Red de Telecomunicaciones de la Universidad de Extremadura
Vicerrectorado de Tecnología de la Información y las Comunicaciones Normas de Uso y Seguridad de la Red de Telecomunicaciones de la Universidad de Extremadura Febrero 2008 Tabla de contenido 1 Antecedentes
Más detallesRP-CSG-027.00. Fecha de aprobación 2012-03-08
Reglamento Particular para la Auditoría Reglamentaria de Prevención de Riesgos Laborales según el Reglamento de los Servicios de Prevención (R.D. 39/1997) RP-CSG-027.00 Fecha de aprobación 2012-03-08 ÍNDICE
Más detallesGUIA DE ACTUACIÓN INSPECTORA EN LA COORDINACIÓN DE ACTIVIDADES EMPRESARIALES
PROTOCOLO CAE GUIA DE ACTUACIÓN INSPECTORA EN LA COORDINACIÓN DE ACTIVIDADES EMPRESARIALES 1. Concurrencia de trabajadores de varias empresas en un centro de trabajo 1.1 El artículo 4.2 RD 171/2004 establece
Más detallesGabinete Jurídico. Informe 0290/2008
Informe 0290/2008 La consulta plantea, que tipo de relación debe mantener la entidad consultante y la propietaria del edificio a los efectos de cumplir con la Ley Orgánica 15/1999, de 13 de diciembre de
Más detallesREGLAMENTO DEL TRABAJO DE FIN DE GRADO
REGLAMENTO DEL TRABAJO DE FIN DE GRADO Exposición de motivos El Real Decreto 1393/2007, de 29 de octubre, por el cual se establece la ordenación de las enseñanzas universitarias oficiales, modificado por
Más detallesCómo afecta la Ley Orgánica de Protección de Datos de carácter personal a un Administrador de fincas y a las Comunidades de Propietarios que gestiona
Cómo afecta la Ley Orgánica de Protección de Datos de carácter personal a un Administrador de fincas y a las Comunidades de Propietarios que gestiona Si usted dirige un despacho de administración de fincas,
Más detallesModelo de Política de Privacidad
Queda prohibido cualquier tipo de explotación y, en particular, la reproducción, distribución, comunicación pública y/o transformación, total o parcial, por cualquier medio, de este documento sin el previo
Más detallesCuestionario de honorabilidad y buen gobierno
Cuestionario de honorabilidad y buen gobierno 1. Observaciones El presente cuestionario tiene por finalidad recoger datos en relación con los requisitos de honorabilidad comercial y profesional y de buen
Más detallesPublicar datos de carácter personal en la web supone tratamiento automatizado de datos y exige consentimiento de los afectados.
PROTECCIÓN DE DATOS Pliegos de condiciones Publicar datos de carácter personal en la web supone tratamiento automatizado de datos y exige consentimiento de los afectados. Resolución de la Dirección de
Más detallesMOGA - Gestión LOPD consultoría- auditoria - formación 986 171 939 671 334 648 c/ Caleria nº 5, Ofic.. 4º D 36210 Vigo (Pontevedra) www.mogagestion.
ARTICULO REDACCIÓN PRIMITIVA NUEVA REDACCIÓN 43.2 Cuando se trate de ficheros de los que sean responsables las Administraciones públicas se estará, en cuanto al procedimiento y a las sanciones, a lo dispuesto
Más detallesFacilitar el cumplimiento de la LOPD
Medidas de Evento protección sobre Protección en la gestión y Monitorización de los datos de la Seguridad de Medidas de protección en la gestión de los datos María José Blanco Antón Subdirectora General
Más detallesTest de intrusión (Penetration Test) Introducción
Test de intrusión (Penetration Test) Introducción Nos encontramos en una época en donde las empresas están sufriendo ataques informáticos cada vez en forma más asidua, basta con ver los informes anuales
Más detallesCÓMO AFECTA LA LOPD A LOS GESTORES ADMINISTRATIVOS NOVEDADES INTRODUCIDAS CON EL RLOPD INFRACCIONES Y SANCIONES
LOPD en el ámbito de los Gestores Administrativos Problemáticas específicas CÓMO AFECTA LA LOPD A LOS GESTORES ADMINISTRATIVOS NOVEDADES INTRODUCIDAS CON EL RLOPD INFRACCIONES Y SANCIONES MARCO NORMATIVO
Más detallesABC PARA PROTEGER LOS DATOS PERSONALES
ABC PARA PROTEGER LOS DATOS PERSONALES LEY 1581 DE 2012 DECRETO 1377 DE 2013 Bogotá, 2013 ABC PARA PROTEGER LOS DATOS PERSONALES Certicámara S.A., entidad de certificación digital experta en seguridad
Más detallesPOLÍTICAS DE PRIVACIDAD Y TRATAMIENTO DE DATOS PERSONALES TELEVISORA DE COSTA RICA S.A.
POLÍTICAS DE PRIVACIDAD Y TRATAMIENTO DE DATOS PERSONALES TELEVISORA DE COSTA RICA S.A. Por favor lea cuidadosamente las siguientes Políticas de Privacidad y Tratamiento de Datos Personales de TELEVISORA
Más detallesLEY 9/2012, de 14 de noviembre, de reestructuración y resolución de entidades de crédito.
NOTA: SOLO SE INCLUYEN AQUELLOS ARTÍCULOS O APARTADOS QUE HACEN REFERENCIA O TIENEN RELACIÓN CON EL FONDO DE GARANTÍA DE DEPÓSITOS DE ENTIDADES DE CRÉDITO LEY 9/2012, de 14 de noviembre, de reestructuración
Más detallesCONSEJERÍA DE SALUD MANIPULADORES DE ALIMENTOS SITUACIÓN ACTUAL
CONSEJERÍA DE SALUD MANIPULADORES DE ALIMENTOS SITUACIÓN ACTUAL Secretaría General de Salud Pública y Participación. Sevilla, abril 2010 1 ESTADO DE SITUACION Y ELEMENTOS A CONSIDERAR EN EL NUEVO MARCO
Más detallesUnidad 1. Fundamentos en Gestión de Riesgos
1.1 Gestión de Proyectos Unidad 1. Fundamentos en Gestión de Riesgos La gestión de proyectos es una disciplina con la cual se integran los procesos propios de la gerencia o administración de proyectos.
Más detallesGabinete Jurídico. Informe 0049/2009
Informe 0049/2009 La consulta plantea dudas acerca de la necesidad de solicitar el consentimiento de los arquitectos y aparejadores que prestan servicios para la consultante, para poder ceder sus datos
Más detallesINFORME ANUAL DE TRANSPARENCIA 2013
INFORME ANUAL DE TRANSPARENCIA 2013 presentación PRESENTACIÓN Las circunstancias de los últimos años han hecho que en la actualidad los requerimientos de información y transparencia sean muy elevados,
Más detalles"Factura sin Papel" (móvil): Expedición de la factura en formato electrónico.
"Factura sin Papel" (móvil): Expedición de la factura en formato electrónico. 1. Qué es la Factura sin Papel? La Factura sin Papel permite a los clientes acceder vía Internet al contenido de su factura
Más detallesPROGRAMA 493M DIRECCIÓN, CONTROL Y GESTIÓN DE SEGUROS. El programa tiene los siguientes objetivos:
PROGRAMA 493M DIRECCIÓN, CONTROL Y GESTIÓN DE SEGUROS 1. DESCRIPCIÓN El programa tiene los siguientes objetivos: El control previo de los requisitos y documentación necesarios para el ejercicio de la actividad
Más detallesSISTEMAS DE GESTIÓN MEDIOAMBIENTAL
SISTEMAS DE GESTIÓN MEDIOAMBIENTAL La creciente preocupación sobre los aspectos medioambientales en las empresas conduce a que la certificación a través del diseño e implantación de sistemas de gestión
Más detalles1.1 Objetivo de la "Política de Gestión de Conflictos de Interés"
1. INTRODUCCIÓN La amplia gama de servicios de inversión y auxiliares ofrecidos por Gestión de Patrimonios Mobiliarios, A.V. S.A., ( en adelante G.P.M.), pudiera posibilitar la existencia de situaciones
Más detallesPreguntas y respuestas sobre el cifrado de la información personal. La guía para aprender a cifrar tu información
Guía de Cifrado Preguntas y respuestas sobre el cifrado de la información personal La guía para aprender a cifrar tu información 2 Qué es lo que estamos cuidando? A través del cifrado cuidamos de fotos,
Más detalles