4.23 The Open Web Application Security Project (OWASP), Guía de Documentación v2.0.

Transcripción

1 4.23 The Open Web Application Security Project (OWASP), Guía Documentación v2.0. Introducción. OWASP es un proyecto código abierto dicado a terminar y combatir las causas que hacen al software inseguro. La Guía Documentación provee lineamientos tallados sobre la seguridad las aplicaciones web. N RESPONSABLE Consiraciones para el Arquitectura y diseño seguridad. establecimiento una arquitectura y diseño seguridad para aplicaciones web. Los responsables en el tratamiento datos Principios codificación segura. Guías para la producción aplicaciones seguras s su diseño. 1 personales, berán observar los principios licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y Art. 6 Art Recomendación General. Molado riesgo amenaza. Consiraciones para la incorporación controles en las aplicaciones con base en responsabilidad, previstos en la Ley. amenazas y riesgos reales. Manejo pagos en Manejo los pagos una el comercio manera segura en sistemas electrónico. comercio electrónico. Phishing. Guías para la prevención l phishing. Servicios web. Guías para el aseguramiento servicios web. 726

2 Guías para proveer servicios Autenticación. autenticación segura a las aplicaciones web. Guías para controlar el acceso a Autorización. recursos protegidos mediante cisiones basadas en el rol o el nivel privilegio. Guías para que los usuarios autenticados cuenten con la Manejo sesiones. protección sus sesiones previniendo su reutilización, falsificación e intercepción sesiones. Validación datos. robusta contra las formas ingreso datos Intérprete sean seguras ataques inyección. manipulación parámetros contra intérpretes comunes. Canonicalización, locales y Unico. robusta cuando esté sujeta a valores entrada codificados, internacionalizados o en Unico. Manejo errores, auditoría y sean auditables y permitan dar generación logs. seguimiento a transacciones o 727

3 accesos al sistema. Guías para que el acceso local al sistema ficheros esté Sistema ficheros. protegido creaciones, modificaciones o eliminaciones no autorizadas. no se expongan a componentes Desbordamientos fectuosos, cuenten con un memoria. manejo memoria acuado, y mecanismos para evitar el sbordamiento memoria. Guías para que las funciones nivel administrador estén Interfaces segregadas la actividad l administrativas. usuario y para que los usuarios no puedan accer o utilizar funcionalidas administrativas. Guías para que el cifrado se use manera segura para Cifrado. proteger la confincialidad e integridad los datos sensibles usuarios. Guías para configurar las Configuración. aplicaciones y su entorno manera segura. Mantenimiento. sean mantenidas correctamente 728

4 spués su liberación y que los fectos seguridad son arreglados correctamente y en un tiempo acuado. Ataques negación robusta frente a ataques servicio. negación servicio. LICITUD Y LEALTAD Los datos personales berán recabarse y tratarse manera lícita, privilegiando la protección los intereses l titular y la 2 expectativa razonable privacidad, sin importar la fuente la que se obtienen los datos. Art. 7 Art. 7 Art. 10 Art. 44 Paso 1. Alcance y Objetivos. La obtención datos personales no be hacerse a través medios engañosos o fraudulentos. CONSENTIMIENTO 729

5 El tratamiento datos personales estará sujeto al consentimiento su titular, salvo las excepciones previstas por la Ley. 3 Los datos financieros o patrimoniales requerirán consentimiento expreso su titular. Art. 8 Art. 11 Art. 12 Art. 15 Paso 2. Política Gestión Datos Personales. Cuando los datos personales se obtengan personalmente o manera directa su titular, el consentimiento berá ser previo al tratamiento. El responsable berá facilitar al titular Paso 2. Política 4 medios sencillos y gratuitos para manifestar Art. 8 Art. 16 Gestión Datos su consentimiento expreso. Personales. Tratándose datos personales sensibles, el responsable berá obtener el consentimiento expreso y por escrito l titular para su tratamiento. Paso 2. Política 5 No podrán crearse bases datos que Art. 9 Art. 56 Gestión Datos contengan datos personales sensibles, sin Personales. que se justifique la creación las mismas para finalidas legítimas, concretas y acors con las actividas o fines explícitos que persigue el sujeto regulado. 6 Para efectos mostrar la obtención l consentimiento, la carga la prueba Art. 20 Paso 7. Implementación 730

6 recaerá, en todos los casos, en el las Medidas responsable. Seguridad Aplicables a los Datos Personales. Cumplimiento Cotidiano Medidas Seguridad. INFORMACIÓN A través l aviso privacidad, el responsable tendrá la obligación informar a los titulares, los datos que recaba, las finalidas necesarias y las que no lo son para la relación jurídica, así como las características principales su tratamiento. Cuando se traten datos personales como Art. 14 Paso 2. Política 7 parte un proceso toma cisiones sin que intervenga la valoración una persona física, el responsable berá Art. 15 Art. 23 Art. 112 Gestión Datos Personales. informar al titular que esta situación ocurre. Si obtiene los datos manera automática, berá informar al titular sobre el uso estas tecnologías y la forma en que podrá shabilitarlas. 8 Cuando los datos personales sean obtenidos directamente l titular, el aviso privacidad be ponerse a disposición los Art. 3, I Art. 17 Art. 27 Paso 7. Implementación las Medidas 731

7 titulares a través formatos impresos, Seguridad digitales, visuales, sonoros o cualquier otra tecnología. Aplicables a los Datos Personales. Cumplimiento Cotidiano Medidas Seguridad. Paso 7. 9 El aviso privacidad be contener un mecanismo, para que el titular pueda manifestar su negativa al tratamiento sus datos personales. Cuando los datos se obtengan manera indirecta l titular, el responsable berá darle a conocer el aviso privacidad y sus cambios. Art. 18 Art. 14 Art. 29 Art. 32 Implementación las Medidas Seguridad Aplicables a los Datos Personales. Cumplimiento Cotidiano Medidas Seguridad Paso 7. Implementación 10 Para efectos mostrar la puesta a disposición l aviso privacidad en cumplimiento l principio información, la carga la prueba recaerá, en todos los casos, en el responsable. Art. 31 las Medidas Seguridad Aplicables a los Datos Personales. Cumplimiento Cotidiano Medidas Seguridad. 732

8 CALIDAD El responsable procurará que los datos 11 personales contenidos en las bases datos sean exactos, completos, pertinentes, correctos y actualizados según se requiera para el cumplimiento la finalidad para la Art. 11 Art. 36 Paso 2. Política Gestión Datos Personales. Validación datos. robusta contra las formas ingreso datos. cual son tratados. Cuando los datos carácter personal hayan jado ser necesarios para el cumplimiento las finalidas previstas por el aviso privacidad y las disposiciones legales aplicables, berán ser cancelados, 12 previo bloqueo los mismos. El responsable la base datos estará obligado a eliminar la información relativa al Art. 3 III Art. 11 Art. 37 Paso 2. Política Gestión Datos Personales. incumplimiento obligaciones contractuales, una vez que transcurra un plazo setenta y dos meses, contado a partir la fecha calendario en que se presente el mencionado incumplimiento. 13 El responsable establecerá y documentará procedimientos para la conservación y, en su caso, bloqueo y supresión los datos personales. Art. 38 Paso 2. Política Gestión Datos Personales. 733

9 Paso 7. Implementación las Medidas 14 Al responsable le correspon mostrar que los datos personales se conservan, o en su caso, bloquean, suprimen o cancelan. Art. 39 Seguridad Aplicables a los Datos Personales. Cumplimiento Cotidiano Medidas Seguridad. FINALIDAD El tratamiento datos personales berá limitarse al cumplimiento las finalidas previstas en el aviso privacidad. Si el responsable preten tratar los datos para un fin distinto al establecido, berá obtener nuevamente el consentimiento l Art. 40 Paso 2. Política 15 titular. Art. 12 Art. 42 Gestión Datos Art. 43 Personales. El titular podrá oponerse o revocar su consentimiento para las finalidas distintas a las que dieron origen a la relación jurídica, sin que ello tenga como consecuencia la conclusión l tratamiento. PROPORCIONALIDAD 734

10 El tratamiento datos personales será el que resulte necesario, acuado y relevante 16 en relación con las finalidas previstas en el aviso privacidad. En particular para datos personales sensibles, el responsable berá Art. 13 Art. 45 Art. 46 Paso 2. Política Gestión Datos Personales. limitar el periodo tratamiento al mínimo indispensable. CONFIDENCIALIDAD El responsable o terceros que intervengan en 17 cualquier fase l tratamiento datos personales berán guardar confincialidad respecto éstos, obligación que subsistirá aun spués finalizar sus relaciones con el Art. 21 Art. 9 Paso 2. Política Gestión Datos Personales. titular o, en su caso, con el responsable. RESPONSABILIDAD 18 El responsable tiene la obligación velar y responr por el tratamiento los datos personales en su posesión, biendo adoptar las medidas necesarias. El responsable berá tomar las medidas necesarias y suficientes para garantizar que el aviso privacidad dado a conocer al titular, sea respetado en todo momento por él o Art. 14 Art. 47 Paso 2. Política Gestión Datos Personales. Compromiso organizacional con la seguridad. Pilares esenciales la seguridad la información. Soporte la alta gerencia para el sarrollo y adquisición aplicaciones con principios básicos seguridad. Consiraciones la integridad, disponibilidad, y confincialidad la información para la producción un control robusto por terceros con los que guar alguna seguridad. 735

11 relación jurídica. Integración los pilares Arquitectura seguridad. integridad, disponibilidad, y confincialidad la información en el sarrollo aplicaciones. Principios seguridad. Lineamientos fundamentales para el sarrollo seguro aplicaciones. Los responsables berán adoptar medidas Paso 5. Realizar el Consiraciones para la 19 para garantizar el bido tratamiento, privilegiando los intereses l titular y la Art. 14 Art. 48 Análisis Riesgo los Datos Molado riesgo amenaza. incorporación controles en las aplicaciones con base en expectativa razonable privacidad. Personales. amenazas y riesgos reales. Soporte la alta gerencia para Elaborar políticas y programas privacidad Paso 2. Política Compromiso el sarrollo y adquisición 20 obligatorios y exigibles al interior la Art I Gestión Datos organizacional con la aplicaciones con principios organización. Personales. seguridad. básicos Seguridad. 21 Poner en práctica un programa capacitación, actualización, y concientización l personal sobre las obligaciones en materia protección datos personales. Art II Paso 9. Mejora Continua y Capacitación. Capacitación. Educación usuario. l Consiraciones para entrenar a los usuarios con respecto a la seguridad la información. 736

12 Establecer un sistema supervisión y 22 vigilancia interna, verificaciones o auditorías externas para comprobar el cumplimiento Art III Paso 8. Revisiones y Auditoría. las políticas privacidad. 23 Destinar recursos para la instrumentación los programas y políticas privacidad. Art IV Paso 3. Establecer Funciones y Obligaciones Quienes Traten Datos Personales. Compromiso organizacional con la seguridad. Soporte la alta gerencia para el sarrollo y adquisición aplicaciones con principios básicos Seguridad. 24 Instrumentar un procedimiento para que se atienda el riesgo para la protección datos personales por la implementación nuevos productos, servicios, tecnologías y molos negocios, así como para mitigarlos. Art V Paso 5. Realizar el Análisis Riesgo los Datos Personales. Molado riesgo amenaza. Consiraciones para la incorporación controles en las aplicaciones con base en amenazas y riesgos reales. 25 Revisar periódicamente las políticas y programas seguridad para terminar las modificaciones que se requieran. Art VI Paso 8. Revisiones y Auditoría. 737

13 Paso 7. Implementación las Medidas 26 Establecer procedimientos para recibir y responr dudas y quejas los titulares los datos personales. Art VII Seguridad Aplicables a los Datos Personales. Cumplimiento Cotidiano Medidas Seguridad. Disponer mecanismos para el Paso 3. Funciones y 27 cumplimiento las políticas y programas privacidad, así como sanciones por su Art VIII Obligaciones Quienes Traten incumplimiento. Datos Personales. Consiraciones para el Arquitectura y diseño seguridad. establecimiento una arquitectura y diseño seguridad para aplicaciones 28 Establecer medidas para el aseguramiento los datos personales, es cir, un conjunto acciones técnicas y administrativas que permitan garantizar al responsable el cumplimiento los principios y obligaciones que establece la Ley y su. Art IX Paso 6. Intificación las medidas seguridad y Análisis Brecha. Principios codificación segura. Molado riesgo web. Guías para la producción aplicaciones seguras s su diseño. Consiraciones para la incorporación controles en amenaza. las aplicaciones con base en amenazas y riesgos reales. Manejo pagos en Manejo los pagos una el comercio manera segura en sistemas 738

14 electrónico. comercio electrónico. Phishing. Guías para la prevención l phishing. Servicios web. Guías para el aseguramiento servicios web. Guías para proveer servicios Autenticación. autenticación segura a las aplicaciones web. Guías para controlar el acceso a Autorización. recursos protegidos mediante cisiones basadas en el rol o el nivel privilegio. Guías para que los usuarios autenticados cuenten con la Manejo sesiones. protección sus sesiones previniendo su reutilización, falsificación e intercepción sesiones. Validación datos. robusta contra las formas ingreso datos. Intérprete sean seguras ataques inyección. manipulación parámetros contra intérpretes comunes. Canonicalización, locales y Unico. robusta cuando esté sujeta a valores entrada codificados, 739

15 internacionalizados o en Unico. Manejo errores, auditoría y generación logs. sean auditables y permitan dar seguimiento a transacciones o accesos al sistema. Guías para que el acceso local al sistema ficheros esté Sistema ficheros. protegido creaciones, modificaciones o eliminaciones no autorizadas. no se expongan a componentes Desbordamientos fectuosos, cuenten con un memoria. manejo memoria acuado, y mecanismos para evitar el sbordamiento memoria. Guías para que las funciones nivel administrador estén Interfaces segregadas la actividad l administrativas. usuario y para que los usuarios no puedan accer o utilizar funcionalidas administrativas. Guías para que el cifrado se use manera segura para Cifrado. proteger la confincialidad e integridad los datos sensibles usuarios. 740

16 Guías para configurar las Configuración. aplicaciones y su entorno manera segura. sean mantenidas correctamente Mantenimiento. spués su liberación y que los fectos seguridad son arreglados correctamente y en un tiempo acuado. Ataques negación robusta frente a ataques servicio. negación servicio. 29 Establecer medidas para la trazabilidad los datos personales, es cir acciones, medidas y procedimientos técnicos que permiten rastrear a los datos personales durante su tratamiento. Art X Paso 6. Intificación las medidas seguridad y Análisis Brecha. Manejo errores, auditoría, y generación logs. sean auditables y permitan dar seguimiento a transacciones o accesos al sistema. Paso Todo responsable berá signar a una persona, o partamento datos personales, quien dará trámite a las solicitus los titulares, para el ejercicio los rechos a que se refiere la Ley. Asimismo fomentará la protección datos personales al interior la organización. Art. 30 Implementación las Medidas Seguridad Aplicables a los Datos Personales. Cumplimiento Cotidiano Medidas Compromiso organizacional con la seguridad. Soporte la alta gerencia para el sarrollo y adquisición aplicaciones con principios básicos seguridad. Seguridad. 741

17 SEGURIDAD Consiraciones para el Arquitectura y diseño seguridad. establecimiento una arquitectura y diseño seguridad para aplicaciones 31 Todo responsable que lleve a cabo tratamiento datos personales berá establecer y mantener medidas seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, strucción o el uso, acceso o tratamiento no autorizado. No adoptarán medidas seguridad menores a aquellas que mantengan para el manejo su información. Cuando el encargado se encuentre ubicado Art. 19 Art. 4 Art. 9 Art. 57 Paso 6. Intificación las medidas seguridad y Análisis Brecha. Principios codificación segura. Molado riesgo amenaza. Manejo pagos en el comercio electrónico. Phishing. web. Guías para la producción aplicaciones seguras s su diseño. Consiraciones para la incorporación controles en las aplicaciones con base en amenazas y riesgos reales. Manejo los pagos una manera segura en sistemas comercio electrónico. Guías para la prevención l phishing. en territorio mexicano, le serán aplicables las disposiciones relativas a las medidas seguridad contenidas en el Capítulo III. Servicios web. Autenticación. Guías para el aseguramiento servicios web. Guías para proveer servicios autenticación segura a las aplicaciones web. Guías para controlar el acceso a Autorización. recursos protegidos mediante cisiones basadas en el rol o el nivel privilegio. 742

18 Guías para que los usuarios autenticados cuenten con la Manejo sesiones. protección sus sesiones previniendo su reutilización, falsificación e intercepción sesiones. Validación datos. robusta contra las formas ingreso datos. Intérprete sean seguras ataques inyección. manipulación parámetros contra intérpretes comunes. Canonicalización, locales y Unico. robusta cuando esté sujeta a valores entrada codificados, internacionalizados o en Unico. Manejo errores, auditoría y generación logs. sean auditables y permitan dar seguimiento a transacciones o accesos al sistema. Guías para que el acceso local al sistema ficheros esté Sistema ficheros. protegido creaciones, modificaciones o eliminaciones no autorizadas. 743

19 no se expongan a componentes Desbordamientos fectuosos, cuenten con un memoria. manejo memoria acuado, y mecanismos para evitar el sbordamiento memoria. Guías para que las funciones nivel administrador estén Interfaces segregadas la actividad l administrativas. usuario y para que los usuarios no puedan accer o utilizar funcionalidas administrativas. Guías para que el cifrado se use manera segura para Cifrado. proteger la confincialidad e integridad los datos sensibles usuarios. Guías para configurar las Configuración. aplicaciones y su entorno manera segura. sean mantenidas correctamente Mantenimiento. spués su liberación y que los fectos seguridad son arreglados correctamente y en un tiempo acuado. Ataques negación robusta frente a ataques 744

20 servicio. negación servicio. El responsable terminará las medidas seguridad aplicables a los datos personales que trate, consirando el riesgo existente, las posibles consecuencias para los titulares, la sensibilidad los datos y el sarrollo tecnológico. De manera adicional, el responsable 32 procurará tomar en cuenta los siguientes elementos: I. El número titulares; II. Las vulnerabilidas previas ocurridas en los sistemas tratamiento; Art. 19 Art. 60 Paso 5. Realizar el Análisis Riesgo los Datos Personales. Molado riesgo amenaza. Consiraciones para la incorporación controles en las aplicaciones con base en amenazas y riesgos reales. III. El riesgo por el valor potencial cuantitativo o cualitativo que pudieran tener los datos personales tratados para una tercera persona no autorizada para su posesión, y IV. Demás factores que puedan incidir en el nivel riesgo o que resulten otras leyes o regulación aplicable al responsable. 33 Elaborar un inventario datos personales y los sistemas tratamiento. Art I Paso 4. Elaborar un Inventario Datos Personales. Clasificación activos. Establece la selección controles seguridad con base en la clasificación los datos a proteger. 745

21 34 Determinar las funciones y obligaciones las personas que traten datos personales. Art II Paso 3. Establecer Funciones y Obligaciones Quienes Traten Datos Personales. Compromiso organizacional con la seguridad. Soporte la alta gerencia para el sarrollo y adquisición aplicaciones con principios básicos seguridad. 35 Contar con un análisis riesgos datos personales que consiste en intificar peligros y estimar los riesgos a los datos Art III Paso 5. Realizar el Análisis Riesgo los Datos Molado riesgo amenaza. Consiraciones para la incorporación controles en las aplicaciones con base en personales. Personales. amenazas y riesgos reales. Consiraciones para el Arquitectura y diseño seguridad. establecimiento una arquitectura y diseño seguridad para aplicaciones web. Paso 6. Principios codificación segura. Guías para la producción aplicaciones seguras s su diseño. Establecer las medidas seguridad Intificación las Consiraciones para la 36 aplicables a los datos personales e intificar Art IV medidas Molado riesgo incorporación controles en aquéllas implementadas manera efectiva. seguridad y Análisis amenaza. las aplicaciones con base en Brecha. amenazas y riesgos reales. Manejo pagos en Manejo los pagos una el comercio manera segura en sistemas electrónico. comercio electrónico. Phishing. Guías para la prevención l phishing. Servicios web. Guías para el aseguramiento servicios web. 746

22 Guías para proveer servicios Autenticación. autenticación segura a las aplicaciones web. Guías para controlar el acceso a Autorización. recursos protegidos mediante cisiones basadas en el rol o el nivel privilegio. Guías para que los usuarios autenticados cuenten con la Manejo sesiones. protección sus sesiones previniendo su reutilización, falsificación e intercepción sesiones. Validación datos. robusta contra las formas ingreso datos. Intérprete sean seguras ataques inyección. manipulación parámetros contra intérpretes comunes. Canonicalización, locales y Unico. robusta cuando esté sujeta a valores entrada codificados, internacionalizados o en Unico. Manejo errores, auditoría y sean auditables y permitan dar generación logs. seguimiento a transacciones o 747

23 accesos al sistema. Guías para que el acceso local al sistema ficheros esté Sistema ficheros. protegido creaciones, modificaciones o eliminaciones no autorizadas. no se expongan a componentes Desbordamientos fectuosos, cuenten con un memoria. manejo memoria acuado, y mecanismos para evitar el sbordamiento memoria. Guías para que las funciones nivel administrador estén Interfaces segregadas la actividad l administrativas. usuario y para que los usuarios no puedan accer o utilizar funcionalidas administrativas. Guías para que el cifrado se use manera segura para Cifrado. proteger la confincialidad e integridad los datos sensibles usuarios. Guías para configurar las Configuración. aplicaciones y su entorno manera segura. Mantenimiento. sean mantenidas correctamente 748

24 spués su liberación y que los fectos seguridad son arreglados correctamente y en un tiempo acuado. Ataques negación robusta frente a ataques servicio. negación servicio. Realizar el análisis brecha que consiste en Paso 6. la diferencia las medidas seguridad Intificación las 37 existentes y aquéllas faltantes que resultan Art V medidas necesarias para la protección los datos seguridad y Análisis personales. Brecha. Paso 7. Implementación las Medidas Seguridad Elaborar un plan trabajo para la Aplicables a los 38 implementación las medidas seguridad Art VI Datos Personales. faltantes, rivadas l análisis brecha. Plan Trabajo para la Implementación las Medidas Seguridad Faltantes. 39 Llevar a cabo revisiones o auditorías. Art VII Paso 8. Revisiones y Auditoría. 749

25 Paso 9. Mejora 40 Capacitar al personal que efectúe el tratamiento datos personales. Art VIII Continua y Capacitación. Capacitación. 41 Realizar un registro los medios almacenamiento los datos personales. Art IX Paso 5. Realizar el Análisis Riesgo los Datos Personales. Clasificación activos. Establece la selección controles seguridad con base en la clasificación los datos a proteger. 3. Acciones a 42 Contar con una relación las medidas seguridad. Art. 61 implementar para la seguridad los datos personales documentadas. Actualizar las medidas seguridad cuando: I. Se modifiquen las medidas o procesos seguridad para su mejora continua, rivado las revisiones a la política seguridad l responsable. Consiraciones para la 43 II. Se produzcan modificaciones sustanciales en el tratamiento que riven en un cambio Art. 62 Paso 8. Revisiones y Auditoría. Molado riesgo amenaza. incorporación controles en las aplicaciones con base en l nivel riesgo. amenazas y riesgos reales. III. Se vulneren los sistemas tratamiento, conformidad con lo dispuesto en el artículo 20 la Ley y 63 su. IV. Exista una afectación a los datos personales distinta a las anteriores. 750

26 En el caso datos personales sensibles, los responsables procurarán revisar y, en su caso, actualizar las relaciones correspondientes una vez al año. VULNERACIONES A LA SEGURIDAD 44 Las vulneraciones seguridad ocurridas en cualquier fase l tratamiento que afecten forma significativa los rechos patrimoniales o morales los titulares, serán informadas forma inmediata por el responsable al titular, a fin que este último pueda tomar las medidas correspondientes a la fensa sus rechos. Art. 20 Art. 63 Art. 64 Paso 8. Revisiones y Auditoría. Vulneraciones a la Seguridad la Información. Respuesta ante incintes seguridad. Arreglar problemas seguridad correctamente. Guías para el manejo incintes seguridad. Guías para eliminar vulnerabilidas seguridad. 45 En caso que ocurra una vulneración a la seguridad los datos personales, el responsable berá informar al titular al menos lo siguiente: Art. 65 Paso 8. Revisiones y Auditoría. Vulneraciones a la Seguridad la Respuesta incintes seguridad. ante Guías para el manejo incintes seguridad. I. La naturaleza l incinte. Información. 751

27 II. Los datos personales comprometidos. III. Las recomendaciones al titular acerca las medidas que éste pueda adoptar para proteger sus intereses. IV. Las acciones correctivas realizadas forma inmediata. Arreglar problemas seguridad correctamente. Guías para eliminar vulnerabilidas seguridad. V. Los medios don pue obtener más información al respecto. 46 En caso que ocurra una vulneración a los datos personales, el responsable berá analizar las causas por las cuales se presentó e implementar las acciones correctivas, Art. 66 Paso 8. Revisiones y Auditoría. Vulneraciones a la Respuesta incintes seguridad. ante Guías para el manejo incintes seguridad. preventivas y mejora para acuar las medidas seguridad correspondientes, a efecto evitar que la vulneración se repita. Seguridad la Información. Arreglar problemas seguridad correctamente. Guías para eliminar vulnerabilidas seguridad. ENCARGADO El encargado tendrá las siguientes Consiraciones para el obligaciones respecto l tratamiento que realice por cuenta l responsable: Arquitectura y diseño seguridad. establecimiento una arquitectura y diseño seguridad para aplicaciones 47 I. Tratar únicamente los datos personales conforme a las instrucciones l responsable. II. Abstenerse tratar los datos personales para finalidas distintas a las instruidas por Art Recomendación General. Principios codificación segura. web. Guías para la producción aplicaciones seguras s su diseño. el responsable. III. Implementar las medidas seguridad conforme a la Ley, su y las Molado riesgo amenaza. Consiraciones para la incorporación controles en las aplicaciones con base en 752

28 más disposiciones aplicables. amenazas y riesgos reales. IV. Guardar confincialidad respecto los datos personales tratados. V. Suprimir los datos personales objeto tratamiento una vez cumplida la relación jurídica con el responsable o por instrucciones l responsable, siempre y cuando no exista una previsión legal que exija la conservación los datos personales. VI. Abstenerse transferir los datos personales salvo en el caso que el responsable así lo termine, la Manejo pagos en el comercio electrónico. Phishing. Servicios web. Autenticación. Manejo los pagos una manera segura en sistemas comercio electrónico. Guías para la prevención l phishing. Guías para el aseguramiento servicios web. Guías para proveer servicios autenticación segura a las aplicaciones web. comunicación rive una subcontratación, Guías para controlar el acceso a o cuando así lo requiera la autoridad competente. Autorización. recursos protegidos mediante cisiones basadas en el rol o el nivel privilegio. Guías para que los usuarios autenticados cuenten con la Manejo sesiones. protección sus sesiones previniendo su reutilización, falsificación e intercepción sesiones. Validación datos. robusta contra las formas ingreso datos. Intérprete inyección. sean seguras ataques manipulación parámetros 753

29 contra intérpretes comunes. Canonicalización, locales y Unico. robusta cuando esté sujeta a valores entrada codificados, internacionalizados o en Unico. Manejo errores, auditoría y generación logs. sean auditables y permitan dar seguimiento a transacciones o accesos al sistema. Guías para que el acceso local al sistema ficheros esté Sistema ficheros. protegido creaciones, modificaciones o eliminaciones no autorizadas. no se expongan a componentes Desbordamientos fectuosos, cuenten con un memoria manejo memoria acuado, y mecanismos para evitar el sbordamiento memoria. Guías para que las funciones nivel administrador estén Interfaces segregadas la actividad l administrativas usuario y para que los usuarios no puedan accer o utilizar funcionalidas administrativas. Cifrado. Guías para que el cifrado se use 754

30 manera segura para proteger la confincialidad e integridad los datos sensibles usuarios. Guías para configurar las Configuración. aplicaciones y su entorno manera segura. sean mantenidas correctamente Mantenimiento. spués su liberación y que los fectos seguridad son arreglados correctamente y en un tiempo acuado. Ataques negación servicio. robusta frente a ataques negación servicio. SUBCONTRATACIONES Paso 7. Implementación La relación entre el responsable y el las Medidas encargado berá estar establecida mediante Seguridad 48 cláusulas contractuales u otro instrumento jurídico que cida el responsable, que Art. 51 Aplicables a los Datos Personales. permita acreditar su existencia, alcance y Cumplimiento contenido. Cotidiano Medidas Seguridad. 755

31 Toda subcontratación servicios por parte l encargado que implique el tratamiento datos personales berá ser autorizada por el responsable, y se realizará en 49 y por cuenta este último. Una vez obtenida la autorización, el encargado berá formalizar la relación con el subcontratado a través cláusulas contractuales u otro instrumento jurídico que permita acreditar su existencia, alcance y contenido. En caso que la subcontratación no haya sido prevista en cláusulas contractuales, el encargado berá obtener la autorización correspondiente l responsable Art. 54 Art. 55 Paso 7. Implementación las Medidas Seguridad Aplicables a los Datos Personales. Cumplimiento Cotidiano Medidas Seguridad. previamente. La obligación acreditar que la subcontratación se realizó con autorización l responsable corresponrá al encargado. CÓMPUTO EN LA NUBE 756

32 Para el tratamiento datos personales en servicios, aplicaciones e infraestructura en el nominado cómputo en la nube, en los que el responsable se adhiera a los mismos mediante condiciones o cláusulas generales contratación, sólo podrá utilizar aquellos servicios en los que el proveedor cumpla, al menos, con lo siguiente: 50 a) Tener y aplicar políticas protección datos personales afines a los principios y beres aplicables que establece la Ley y su ; b) Transparentar las subcontrataciones que involucren la información sobre la que se presta el servicio; Art I Paso 7. Implementación las Medidas Seguridad Aplicables a los Datos Personales. Cumplimiento Cotidiano Medidas Compromiso organizacional con la seguridad. Soporte la alta gerencia para el sarrollo y adquisición aplicaciones con principios básicos seguridad. c) Abstenerse incluir condiciones en la Seguridad. prestación l servicio que le autoricen o permitan asumir la titularidad o propiedad la información sobre la que presta el servicio, y d) Guardar confincialidad respecto los datos personales sobre los que se preste el servicio. 51 Para el tratamiento datos personales en Art II Paso 7. Arquitectura y diseño Consiraciones para el 757

33 servicios, aplicaciones e infraestructura en el Implementación seguridad. establecimiento una nominado cómputo en la nube, en los que las Medidas arquitectura y diseño el responsable se adhiera a los mismos Seguridad seguridad para aplicaciones mediante condiciones o cláusulas generales Aplicables a los web. contratación, sólo podrá utilizar aquellos servicios en los que el proveedor cuente con mecanismos, al menos, para: a) Dar a conocer cambios en sus políticas privacidad o condiciones l servicio que presta; Datos Personales. Cumplimiento Cotidiano Medidas Seguridad. Principios codificación segura. Molado riesgo amenaza. Guías para la producción aplicaciones seguras s su diseño. Consiraciones para la incorporación controles en las aplicaciones con base en amenazas y riesgos reales. b) Permitir al responsable limitar el tipo tratamiento los datos personales sobre los que se presta el servicio; c) Establecer y mantener medidas seguridad acuadas para la protección los datos personales sobre los que se preste el servicio; Manejo pagos en el comercio electrónico. Phishing. Servicios web. Autenticación. Manejo los pagos una manera segura en sistemas comercio electrónico. Guías para la prevención l phishing. Guías para el aseguramiento servicios web. Guías para proveer servicios autenticación segura a las d) Garantizar la supresión los datos personales una vez que haya concluido el servicio prestado al responsable, y que este último haya podido recuperarlos, y Autorización. aplicaciones web. Guías para controlar el acceso a recursos protegidos mediante cisiones basadas en el rol o el nivel privilegio. e) Impedir el acceso a los datos personales a personas que no cuenten con privilegios Manejo sesiones. Guías para que los usuarios autenticados cuenten con la protección sus sesiones 758

34 acceso, o bien en caso que sea a solicitud previniendo su reutilización, fundada y motivada autoridad falsificación e intercepción competente, informar ese hecho al sesiones. responsable. Validación datos. robusta contra las formas ingreso datos. Intérprete sean seguras ataques inyección. manipulación parámetros contra intérpretes comunes. Canonicalización, locales y Unico. robusta cuando esté sujeta a valores entrada codificados, internacionalizados o en Unico. Manejo errores, auditoría y generación logs. sean auditables y permitan dar seguimiento a transacciones o accesos al sistema. Guías para que el acceso local al sistema ficheros esté Sistema ficheros. protegido creaciones, modificaciones o eliminaciones no autorizadas. Desbordamientos no se expongan a componentes memoria. fectuosos, cuenten con un manejo memoria acuado, 759

35 y mecanismos para evitar el sbordamiento memoria. Guías para que las funciones nivel administrador estén Interfaces segregadas la actividad l administrativas. usuario y para que los usuarios no puedan accer o utilizar funcionalidas administrativas. Guías para que el cifrado se use manera segura para Cifrado. proteger la confincialidad e integridad los datos sensibles usuarios. Guías para configurar las Configuración. aplicaciones y su entorno manera segura. sean mantenidas correctamente Mantenimiento. spués su liberación y que los fectos seguridad son arreglados correctamente y en un tiempo acuado. Ataques negación servicio. robusta frente a ataques negación servicio. TRANSFERENCIAS 760

36 Cuando el responsable pretenda transferir los datos personales a terceros nacionales o extranjeros, distintos l encargado, berá Paso 7. comunicar a éstos el aviso privacidad y las Implementación finalidas a las que el titular sujetó su las Medidas tratamiento. Art. 68 Seguridad 52 El tratamiento los datos se hará conforme a lo convenido en el aviso privacidad, el Art. 36 Art. 71 Art. 72 Aplicables a los Datos Personales. cual contendrá una cláusula en la que se Art. 74 Cumplimiento indique si el titular acepta o no la Cotidiano transferencia sus datos, igual manera, Medidas el tercero receptor, asumirá las mismas Seguridad. obligaciones que correspondan al responsable que transfirió los datos. Paso Para efectos mostrar que la transferencia, sea ésta nacional o internacional, se realiza conforme a lo que establece la Ley y su, la carga la prueba recaerá, en todos los casos, en el responsable que transfiere y en el receptor los datos personales. Art. 69 Implementación las Medidas Seguridad Aplicables a los Datos Personales. Cumplimiento Cotidiano Medidas Seguridad. 761

37 En el caso transferencias datos personales entre sociedas controladoras, subsidiarias o afiliadas bajo el control común l mismo grupo l responsable, o a una sociedad matriz o a cualquier sociedad l mismo grupo l responsable, el mecanismo 54 para garantizar que el receptor los datos personales cumplirá con las disposiciones previstas en la Ley, su y más Art Recomendación General normativa aplicable, podrá ser la existencia normas internas protección datos personales cuya observancia sea vinculante, siempre y cuando éstas cumplan con lo establecido en la Ley, su y más normativa aplicable. Paso 7. Implementación La transferencia berá formalizarse las Medidas mediante algún mecanismo que permita Seguridad 55 mostrar que el responsable transferente comunicó al responsable receptor las Art. 73 Art. 75 Aplicables a los Datos Personales. condiciones en las que el titular consintió el Cumplimiento tratamiento sus datos personales. Cotidiano Medidas Seguridad. 762