Computer-3 Noticias TIC

Expertos en informatización de Empresas y Despachos Profesionales

El consentimiento para el tratamiento de datos personales tiene que ser expreso.

El departamento especialista en protección de datos se ha encontrado esta mañana con una consulta que consideramos hacer pública: 

Efectivamente, en esta circunstancia, muy común, se dan una serie de irregularidades que todas las empresas tienen que tener en cuenta, y más a partir del mes de mayo. Básicamente el problema surge del consentimiento que tenemos para realizar acciones con los datos de los usuarios. Con la llegada del Nuevo Reglamento Europeo de Protección de Datos (RGPD), estas son las condiciones que se deben de cumplir: 

Es obligatorio el consentimiento expreso

Desaparece el consentimiento tácito

Tiene que ser un consentimiento expreso. Es decir, quedan totalmente prohibidas las casillas premarcadas en las webs, al igual que el silencio o la inacción del usuario no nos da consentimiento, que debe ser explícito.

Consentimiento expreso, específico y explícito para datos sensibles

Para datos especialmente sensibles (como sería en este caso, datos de salud y de una menor) el consentimiento tiene que ser específico, expreso y explícito.

Se puede retirar en cualquier momento.

Solicitar la baja debe ser un acto sencillo, tan solo con un mail o una simple comunicación, el responsable de datos tiene que darnos de baja en su lista de comunicaciones comerciales de manera ágil y rápida.

Autorización específica del tratamiento de datos

El responsable de los datos tiene que aportar de manera libre, específica, informada e inequívoca la autorización al tratamiento de datos concreto, es decir, tiene que quedar muy claro para qué se va a usar sus datos.

Consentimiento verificable

El responsable, además, tiene que mostrar dónde consiguió el permiso para tratar los datos, es decir, ese consentimiento tiene que ser verificable.

No menores de 13 años

 Evidentemente, los menores de 16 años, en el caso de España, deben contar con el permiso de los padres para dar la autorización de tratamiento de datos, en el caso de no ser así cualquier manifestación sería ilegal según el Reglamento Europeo de Protección de Datos.

Los X mandamientos del nuevo Reglamento Europeo de Protección de Datos para asesorías y despachos profesionales

 

El próximo 25 de mayo será obligatorio para todas las empresas y entidades cumplir con la nueva normativa europea de protección de datos aprobada por el Reglamento (UE) 2016/679 (RGPD). Trae consigo cambios importantes y profundos que se tienen que implementar en todas las organizaciones que manejan datos de carácter personal, teniendo un especial impacto en el ámbito de las asesorías y despachos profesionales debido al sector empresarial en el que prestan sus servicios y al constante tratamiento de datos personales que llegan a efectuar.

Para ayudar a comprender las nuevas obligaciones desde Computer-3 hemos elaborado un decálogo de mandamientos que reúne los principales aspectos para adaptar el tratamiento de datos personales que se efectúan en las asesorías y despachos profesionales al nuevo reglamento europeo.

 

Mandamiento I: Realizarás una evaluación de riesgos de todas tus operaciones

 Realizarás una valoración objetiva de los riesgos que entrañan los tratamientos que llevas a cabo en tu asesoría o despacho para los derechos y libertades de las personas. Así, podrás identificar los riesgos a los que estás expuesto y podrás determinar los controles y medidas de seguridad que tendrás que aplicar para mitigarlos. En determinados supuestos, debido al alto riesgo que se puede derivar de algún tratamiento, se procederá a la realización de Evaluaciones de Impacto sobre la protección de datos.

Mandamiento II: Registrarás todas las operaciones de tratamiento de datos personales. 

Tienes la obligación de llevar un registro interno en el que se recoja, en todo momento y de forma actualizada, todas las operaciones de tratamiento de datos personales que llevas a cabo en tu asesoría o despacho, en el que se reflejarán todos los aspectos que requiere la nueva normativa.

Mandamiento III: Informarás a tus clientes de los tratamientos de datos

Informarás de manera detallada, transparente y clara de todos los tratamientos que vas a realizar con los datos personales de tus clientes, informándolos del responsable de tratamiento, finalidades, legitimación del tratamiento, tiempo de conservación de los datos, cesiones o comunicaciones de datos que se realizarán, así como de la manera de poder solicitar el ejercicio de sus derechos.

Mandamiento IV:  Recogerás consentimientos expresos

Cuando se tratan datos personales considerados de categorías especiales, tienes que recoger consentimientos explícitos, que serán a través de una acción afirmativa del titular de los datos. Queda prohibido los consentimientos tácitos.

Mandamiento V: Serás proactivo en el cumplimiento de la normativa

Serás diligente en el cumplimiento de la normativa y de todas las obligaciones que impone. Para ello, deberás aplicar de manera efectiva todas las medidas y controles de seguridad que te permitan mitigar tus riesgos, así como tener en cuenta la protección de datos desde el diseño y por defecto en todas operaciones de tratamiento de datos que realices en tus oficinas.

Mandamiento VI: Comunicarás las quiebras de seguridad

Siempre que te suceda algún incidente de seguridad que ponga en riesgo la confidencialidad, integridad o disponibilidad de tus sistemas de información, procederás a su comunicación a la Agencia Española de Protección de Datos y a las personas que se pudiesen ver afectadas por la quiebra.

Mandamiento VI: Formarás a tus trabajadores

Debido a la gran relevancia que tiene el factor humano en el tratamiento de datos, formarás e informarás a tus trabajadores de todas las obligaciones, procedimientos y protocolos de seguridad que tienen que cumplir en su puesto de trabajo respecto de los datos personales a los que acceden.

Mandamiento VIII: Firmarás contratos con tus clientes y proveedores

Firmarás contratos de prestación de servicios, de manera escrupulosa, con todos tus clientes en los que se regulen todos los aspectos del encargo de tratamiento que te realizan y por el que vas acceder a sus datos.

Con tus proveedores de servicios también firmarás contratos de prestación de servicios que recojan todos los aspectos del encargo que les realizas. Además, serás diligente en la elección de tus proveedores de servicios, ya que solamente los podrás contratar en el caso de que garanticen el cumplimiento de la normativa de protección de datos.

Mandamiento IX: Acreditarás el cumplimiento ante tus clientes

Revisarás y auditarás tus sistemas de información de forma periódica para verificar que se está cumpliendo con la normativa y pondrás los medios necesarios para implantar todos los controles que mitiguen los riesgos a los que se expone tu asesoría y despacho, de modo que siempre podrás acreditar tu cumplimiento de la normativa ante tus clientes, cuando así te lo requieran.

Mandamiento X: Atenderás los derechos de los afectados

Cuando algún interesado te solicite el ejercicio de alguno de sus derechos, le darás trámite a su solicitud de la manera rápida y diligente, decidiendo sobre solicitud siempre en función de cada caso y cumpliendo con los procedimientos regulados en la normativa aplicable de protección de datos.

Nuevo Reglamento Europeo de Protección de Datos

Manuel Pérez Masero Director General de Computer-3 y su equipo jurídico, estuvieron presentes en la ponencia de la directora de la Agencia Española de Protección de Datos, Mar España, celebrada el pasado viernes, 29 de septiembre en el acto organizado por la Confederación de Empresarios de Galicia en Santiago de Compostela. Se trata del primer acto informativo organizado por la AEPD fuera de su sede en Madrid.

En el evento se abordó el análisis de algunos de los aspectos más relevantes del nuevo Reglamento Europeo de Protección de Datos, Reglamento UE 679/2016, que será de obligado cumplimiento a partir del 25 de mayo de 2018. La directora de la AEPD insistió en la necesidad de que las empresas empiecen a adoptar las medidas técnicas y jurídicas necesarias para cumplir con la nueva normativa en el mes de mayo de 2018.

En relación con las novedades introducidas por el Reglamento Europeo hizo especial mención a la figura del DPO (Delegado de Protección de Datos). Recordó que las empresas obligadas a nombrar un DPO son entre otras, las prestadoras de servicios sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes con arreglo a lo dispuesto en la Ley 41/2002, los centros docentes que ofrezcan enseñanzas reguladas por la Ley Orgánica 2/2016, las prestadoras de servicios de publicidad y prospección comercial según lo dispuesto en el anteproyecto de ley orgánica de protección de datos de carácter personal recientemente publicado.

Mar España destacó la relevancia en la aplicación del RGPD de la figura del DPO y recomendó la contratación por las empresas de dicha figura, no solo para aquellos supuestos determinados de forma obligatoria por la ley sino en todos los casos, por las ventajas que reporta a la empresa a nivel organizativo y de desarrollo de procedimientos que aseguran el cumplimiento del Reglamento Europeo, sino también por la facultad que el anteproyecto de ley otorga a dicha figura para la resolución de denuncias.

Las reclamaciones o denuncias se deberán formular en primer lugar ante el DPO si la empresa dispone de dicha figura. El Delegado tendrá un plazo de dos meses para resolver las denuncias y reclamaciones, y evitar así que se acaben presentando ante la AEPD y con ello la posible sanción administrativa. En caso de que no se hayan formulado previamente ante el delegado de protección de datos designado por el encargado o responsable del tratamiento o ante el organismo de supervisión establecido para la aplicación de los códigos de conducta, la Agencia podrá remitírselas al DPO para que las resuelva en el plazo de un mes.

En el acto también se puso de manifiesto que en próximas fechas se habilitará una línea de ayudas de Fondos FEDER para ayudar a las empresas a llevar a cabo la implantación del RGPD.

 

Servicios de copias de seguridad en la nube

¿Tienes tus datos a salvo?

CADA DÍA SE PIERDEN DATOS DE MÁXIMO VALOR PARA LAS EMPRESAS CAUSANDO GRAVES DAÑOS ECONÓMICOS Y PONIENDO EN RIESGO LA CONTINUIDAD DE NEGOCIO

 

No todo el que hace copias de seguridad puede verse libre de algún imprevisto. En la mayoría de los casos, las incidencias que provocan una pérdida de datos se producen sin previo aviso y resultaban para nosotros altamente improbables hasta que se produjeron. Y en otros muchos, el descuido y la falta de control va provocando que cuando se producen incidencias de algún tipo, no exista ya posibilidad de recuperar los archivos perdidos o dañados.

Los Riesgos más cotidianos que ponen en peligro nuestras empresas son:

  • 1. Encriptación de disco o borrado de archivos por virus
  • 2. Se produce una caída de tensión
  • 3. Se deteriora el disco duro
  • 4. Se reinicia el ordenador solo
  • 5. Robo en las instalaciones
  • 6. Tus copias de seguridad están en el mismo sitio que tus archivos
  • 7. Se produce un incendio
  • 8. Te ves obligado a formatear

Soluciones para estar seguro

 

Hoy en día existen un sin fin de dispositivos para realizar las copias de seguridad, tanto software como hardware.

Pero desde Computer-3 recomendamos sin ninguna duda Los servicios en la Nube una económica y sencilla solución de copia de seguridad como servicio que extiende herramientas probadas y de confianza locales con herramientas enriquecidas y versátiles en la nube. Proporciona protección para los datos de los clientes independientemente de dónde residan: en el centro de datos empresarial, en sucursales u oficinas remotas, o en la nube pública, ofrece herramientas económicas, coherentes y que apenas requieren mantenimiento para copias de seguridad.

Su ventajas:

  • Servicio garantizado y personalizado
  • Abaratamiento de costes energéticos y de hardware
  • Sin tarifas de cancelación
  • Pague solo por lo que usa
  • Cumple las exigencias de la LOPD   
  • 99% de servicio garantizado

 

Convincentes copias de seguridad basadas en la nube ahorro en el costo

Por exigencias empresariales o de cumplimiento, se requiere que las organizaciones protejan sus datos durante años y, con el tiempo, estos datos aumentan de manera exponencial. Tradicionalmente, se han usado cintas para guardar los datos a largo plazo. La copia de seguridad en la nube constituye una convincente alternativa a las cintas, con un notable ahorro en el coste de hardware y electricidad pagando solo por lo que usas y beneficiándote de tiempos de recuperación más reducidos.

Copia de seguridad segura y confiable como servicio

Los datos de los que se hacen copias de seguridad están a salvo cuando están activos e inactivos. Los datos de las copias de seguridad se almacenan hasta en un almacenamiento replicado geográficamente que mantiene seis copias de los datos en dos centros de datos de Azure. Con una disponibilidad del servicio del 99,9 %, Backup aporta tranquilidad en términos operativos.

Servicios de copia de seguridad en línea eficientes y flexibles

La copia de seguridad en la nube es eficaz a través de la red y en el disco. Una vez completada la propagación inicial, solo se envían los cambios incrementales a una frecuencia definida por el usuario. Las características integradas, como la compresión, el cifrado, un mayor tiempo de retención y el límite de ancho de banda, ayudan a impulsar la eficiencia de la TI.

 

Si estas interesado en más información sobre este tema no dudes en contactar en 

www.computer-3.com

Gmail & Hotmail: Cómo saber si ahora mismo te están espiando



Hace algo de tiempo os hablé de cómo había visto unas campañas de robo de cuentas de Gmail y Hotmail por medio de tokens de acceso OAuth a la cuenta. Ahora, unas semanas después me he topado con el caso de una persona a la que habían conseguido engañar para robarle los tokens. Ese acceso además, lo utilizaron para leer durante mucho tiempo su correo electrónico y preparar un ataque a su vida personal y robarle dinero del banco. El esquema que usaron los cibercriminales fue el mismo que os conté el año pasado en el artículo "Dos casos reales de robo de dinero", en concreto el caso de la transferencia bancaria desde el correo electrónico.

Todo lo que se había utilizado en el esquema era información que estaba en los mensajes de correos electrónicos Enviados y Recibidos. Datos de cuentas, documentos, información personal para demostrar conocimiento y familiaridad con la persona del banco e incluso secciones de texto copiadas de correos electrónicos para repetir mismos términos y formalismos. Cuando tuve que analizar este caso, y viendo que la cuenta en un Hotmail, rápidamente pensé en el truco de los tokens OAuth de acceso al buzón, y ahí estaba la app fraudulenta que había conseguido acceso al buzón.

Figura 2: Una cuenta monitorizada durante meses por una app fraudulenta

Como podéis ver, la cuenta estaba monitorizada desde el mes de Abril, pero habían estado esperando el mejor momento para poder trazar el plan de ataque, que se llevó a principios de Junio. Se tomaron todo el tiempo del mundo porque prácticamente nadie vigila los tokens OAuth que ha concedido. Por supuesto, el truco se completa simulando que es una conexión con una cuenta Google, algo que la víctima no tiene.

Puntos de revisión de tu cuenta de Hotmail y Gmail

Visto esto, os quiero dejar unas recomendaciones de seguridad que os recomiendo que hagáis ahora mismo en Gmail y Hotmail para descubrir si os están espiando el correo electrónico ahora mismo. Si es así, tomad las medidas de protección que os dejo después:
Revisión de Tokens OAuth: Como ya os expliqué en el otro artículo, debéis ir a las siguientes URLs y quitar acceso a todas las apps a las que hayáis concedido un token de acceso a vuestro buzón y no lo sepáis.
Figura 3: Apps conectadas a tu cuenta de Google
- Apps conectadas a tu cuenta de Hotmail
- Apps conectadas a tu cuenta de Gmail
Revisar cuentas a las que se reenvía el correo: A veces cuando se tiene acceso a tu cuenta, alguien deja una cuenta de reenvío para seguir viendo tus mensajes de correos electrónicos aunque le quiten acceso: 
Figura 4: Opciones de reenvío de correo electrónico en Hotamil
- Cuentas a las que se envía tu correo de Hotmail
- Cuentas a las que se envía tu correo de Gmail
Poner un sistema de verificación en dos pasos: Tanto en Hotmail como en Gmail es imposible utilizar Latch - salvo como un hack para Gmail - pero sí que es posible en ambos utilizar Google Authenticator, así que tanto si tenías a alguien leyendo tu correo electrónico con alguno de los dos trucos anteriores como si no, puede que alguien te haya robado tu contraseña y esté entrando a tu buzón, así que:
Figura 5: Google Authenticator para entrar en Gmail
- Cambia la password ahora mismo
- Configurar Verificación en dos pasos en Gmail
Es una pena cuando alguien tiene acceso a tu correo electrónico, ya que una vez que se han llevado todos tus datos se los han llevado para siempre y deberás pasar mucho tiempo cambiando la información que puedas, avisando a personas con las que trabajas y estando vigilante a lo que pueda pasar con tu vida digital en el futuro. Si esto te sucede, mira la posiblidad de contratar un seguro contra el robo de identidad.

Office 365 en cuanto a la seguridad y la protección de la privacidad

1. ¿Qué ofrece Office 365 al mercado empresarial?

Office 365 ofrece un conjunto de herramientas de Productividad que permitirán a los equipos de trabajo obtener una oficina moderna, es decir, que la oficina sea ágil, eficaz y móvil.

Office 365 puede tener acceso a todas las herramientas de colaboración y productividad en cualquier lugar y en cualquier dispositivo, dando a los empleados la libertad de trabajar cuando y donde lo necesiten, con herramientas sencillas y con acceso al Office que todos conocen y usan. Las organizaciones pueden tener acceso en cualquier lugar al correo electrónico de empresa, sitios de colaboración, uso compartido de archivos y las reuniones en línea sin comprometer la seguridad. 

Office 365 pone a disposición herramientas de análisis de información muy avanzadas, pero de muy fácil uso para crear informes personalizados, realizar seguimientos de los indicadores de rendimiento clave o visualizar datos para tomar decisiones más inteligentes e informadas.


2. ¿Qué novedades hay en Office 365 con respecto a la seguridad?

Para Microsoft la seguridad de la información de nuestros clientes es una prioridad, Office 365 incorpora la seguridad, el cumplimiento normativo y la privacidad como parte integral de la solución para garantizar la protección de datos de la empresa. Office 365 satisface los mayores estándares de cumplimiento normativo mundial, como HIPAA, FISMA e ISO 27001; así como ISO 27018 respecto a la privacidad de la información considerando la cercana aplicación de la Ley de Protección de Datos Personales en el Perú; y aporta buenas prácticas líderes en el sector en diseño de centros de datos y prevención de pérdidas de datos. Puede administrar fácilmente normativas de cumplimiento complejas y, a la vez, ejercer un control completo sobre la información confidencial.


3. ¿Cómo se da el proceso de cifrado de la información en Office 365?

En Office365 la información se cifra en reposo y en tránsito, es decir, cuando esta almacenada en Office 365, viaja hacia y desde la nube, la información está cifrada usando la tecnología de BitLocker.


4. Con la llegada de Skype a las empresas, ¿cómo queda la situación de Lync y los usuarios?

Lync no ha desaparecido, solo ha evolucionado, lo que estamos haciendo es tener los mejor de nuestras dos soluciones y unificándolas; la familiaridad y simplicidad de uso de Skype, que más de 300 millones de personas usan para comunicarse, con las características empresariales de presencia, mensajería instantánea, voz y video llamadas, la integración con Office y las opciones de seguridad, privacidad y cumplimiento normativo que permite Lync, brindando a nuestros clientes lo mejor de nuestras soluciones. Para los clientes que usan actualmente Lync, la nueva experiencia de Skype aparecerá como parte de las actualizaciones mensuales de Office 365, Skype for Business es la evolución de Lync.

5. ¿Qué puede hacer un usuario de Office 365 para evitar el robo de la información?

Office 365 incluye tres mecanismos para asegurar y proteger la información de la organización incluso desde dentro; el primero es la Gestión de Derechos de Información (IRM por sus siglas en inglés), que puede ser usado para asegurar la información dentro de la organización encriptando la información y añadiéndole políticas inteligentes para definir las acciones que los usuarios pueden realizar con la información como leer, editar, imprimir, reenviar o copiar la información; la segunda es la Encriptación de Mensajes de Office365, donde se puede enviar un correo encriptado a cualquier usuario, solo se necesita una cuenta Microsoft o una clave única para acceder al correo desde el escritorio o un dispositivo móvil; y por último la tecnología de S/MIME para firmar digitalmente los correos, lo que nos ha permitido certificar a Office365 ante el Indecopi como la primera solución en nube para el manejo de firmas digitales en el Perú

6. ¿Qué sucede cuando la suscripción a Office 365 vence? ¿Hay posibilidad de recuperar la información?

Siempre la información que reside en Office365 es propiedad del cliente, nunca de Microsoft, por consiguiente el cliente siempre puede recuperar su información. Cuando una subscripción vence, por contrato, el cliente tiene un tiempo adicional de hasta 90 días para poder recuperar su información.

7. ¿Qué estrategia maneja Microsoft para aumentar el uso de software legítimo en las empresas?

Permanentemente conversamos con clientes, socios de negocio, gremios empresariales y cuanto auditorio tengamos para mostrar a los clientes los beneficios de tener un software original y los riesgos de implica no tenerlo, es un esfuerzo muy grande, pero estamos convencidos que los beneficios que brinda el software original, como seguridad, confiabilidad, soporte, entrenamientos y otros nos ayudara en este propósito.