I Jornada de Protección de datos para directivos de la C.M. Medidas de seguridad en los tratamientos de datos personales I Jornada de Protección de Datos para Directi os de la Comunidad Directivos Com nidad de Madrid Medidas de seguridad en los tratamientos de d datos d personales l Arturo Ribagorda Garnacho 5 de octubre de 2010 I Jornada de Protección de datos para directivos de la C.M. Medidas de seguridad en los tratamientos de datos personales LOPD: Seguridad de los datos (Art. 9) 2. No se registrarán datos de carácter 2 personal en ficheros automatizados que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas I Jornada de Protección de datos para directivos de la C.M. Medidas de seguridad en los tratamientos de datos personales LOPD: Seguridad de los datos (Art. 9) 3. Reglamentariamente se establecerán 3 los requisitos y condiciones que deban reunir i llos fificheros h y llas personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 (“Datos especialmente protegidos”) protegidos ) de esta Ley. I Jornada de Protección de datos para directivos de la C.M. Medidas de seguridad en los tratamientos de datos personales REGLAMENTO DE DESARROLLO DE LA LOPD • Regula tratamientos y ficheros • Tratamiento total o parcialmente automatizado, o no automatizado, de datos d carácter de á t personall • Desarrollo reglamentario de la totalidad de p el estatuto de la AEPD)) la LOPD ((excepto I Jornada de Protección de datos para directivos de la C.M. Medidas de seguridad en los tratamientos de datos personales REGLAMENTO DESARROLLO LOPD: Título VIII Capítulo III. Medidas de seguridad de aplicables a ficheros y tratamientos automatizados Sección Primera. Nivel básico Sección Segunda. Nivel medio Sección Tercera. Nivel alto I Jornada de Protección de datos para directivos de la C.M. Medidas de seguridad en los tratamientos de datos personales REGLAMENTO LOPD: Título VIII MEDIDAS DE SEGURIDAD • Administrativas y organizativas • Técnicas • Físicas I Jornada de Protección de datos para directivos de la C.M. Medidas de seguridad en los tratamientos de datos personales C. E C E. Primer informe sobre la aplicación de la Directiva 95/46, sobre protección de datos (2003) 265 “la aplicación de medidas tecnológicas adecuadas constituye un complemento fundamental de los medios jurídicos y debe constituir i i una parte d de cualquier l i esfuerzo f grado suficiente de destinado a obtener un g protección de la intimidad”. I Jornada de Protección de datos para directivos de la C.M. Medidas de seguridad en los tratamientos de datos personales COMUNICACIÓN DE LA COMISIÓN AL P.E. Y AL CONSEJO (2007) 228 PRIVACY ENHANCED TECHNOLOGY ((PET)) • Instrumentos de cifrado • Uso de anonimizadores automáticos • Anuladores de cookies • Plataformas de preferencias de privacidad (P3P) I Jornada de Protección de datos para directivos de la C.M. Medidas de seguridad en los tratamientos de datos personales REGLAMENTO LOPD: Título VIII. Capítulo III MEDIDAS DE SEGURIDAD: Técnicas • Autenticación de usuarios ((Art. 93,, 98)) • Control de accesos (Art (Art. 91) • Cifrado de información (Art. 101, 104) • Registros de auditoria (Art. 103) I Jornada de Protección de datos para directivos de la C.M. Medidas de seguridad en los tratamientos de datos personales REGLAMENTO LOPD: Título VIII. Capítulo III IDENTIFICACIÓN Y AUTENTICACIÓN • Nivel básico (Art. 93) – Inequívoca y personalizada – Contraseñas: Asignación, distribución y almacenamiento l i t confidencial fid i l e iintegro t – Cambios periódicos (menos de un año) • Nivel medio ((Art. 93)) – Limitación de intentos de acceso I Jornada de Protección de datos para directivos de la C.M. Medidas de seguridad en los tratamientos de datos personales IDENTIDAD DIGITAL • Identificación – Conjunto de datos alfanuméricos • Autenticación – Credenciales C d i l ARG1 Diapositiva 11 ARG1 Que permiten demostrar fehacientemente la identidad Arturo Ribagorda; 25/09/2010 I Jornada de Protección de datos para directivos de la C.M. Medidas de seguridad en los tratamientos de datos personales IDENTIDAD DIGITAL. DIGITAL Credenciales • Rasgo del comportamiento • Características biométricas (huella dactilar, voz) • Posesión de un objeto (tarjeta inteligente o no ) • Conocimiento de una información (contraseña) I Jornada de Protección de datos para directivos de la C.M. Medidas de seguridad en los tratamientos de datos personales SISTEMAS BIOMÉTRICOS: É Ejemplos I Jornada de Protección de datos para directivos de la C.M. Medidas de seguridad en los tratamientos de datos personales SISTEMAS BIOMÉTRICOS: Problemas • Falsa aceptación/Falso rechazo • Aleatoriedad UdW1 • Reemplazamiento • Privacidad (Intimidad) Diapositiva 14 UdW1 Algunos pueden revelar enfermedades Usuario de Windows; 08/12/2009 I Jornada de Protección de datos para directivos de la C.M. Medidas de seguridad en los tratamientos de datos personales AUTENTICACIÓN MEDIANTE LA FIRMA Solicitud de acceso Reto Firma del reto I Jornada de Protección de datos para directivos de la C.M. Medidas de seguridad en los tratamientos de datos personales El documento nacional de identidad electrónico1 (Art. ( 15) 1 El d 1. documento t nacional i ld de id identidad tid d electrónico es el documento nacional de identidad que acredita electrónicamente la identidad personal de su titular y permite la firma electrónica de documentos 1. Ley 59/03 de firma electrónica 16 I Jornada de Protección de datos para directivos de la C.M. Medidas de seguridad en los tratamientos de datos personales E ID Ejemplos E-ID. • Tarjeta T j t de d identificación id tifi ió • Tarjeta sanitaria • Permiso de conducir •… 17 I Jornada de Protección de datos para directivos de la C.M. Medidas de seguridad en los tratamientos de datos personales E ID Problemas E-ID. • Suministro S i i t d de iinformación f ió superflua fl • Accesos indebidos • Uso de certificados de no-repudio p •… 18 I Jornada de Protección de datos para directivos de la C.M. Medidas de seguridad en los tratamientos de datos personales IDENTIDAD DIGITAL: Privacidad en el DNI-e Zona pública: – Certificado CA intermedia emisora – Claves Diffie-Hellman Diffie Hellman – Certificado x509 de componente Zona privada: – Certificado de Firma (No Repudio) – Certificado de Autenticación (Digital Signature) Zona de seguridad: – Datos de filiación del ciudadano – Imagen de la fotografía. – Imagen de la firma manuscrita. I Jornada de Protección de datos para directivos de la C.M. Medidas de seguridad en los tratamientos de datos personales AGE: Empleados/firma electrónica avanzada1 Informe REINA 09 I Jornada de Protección de datos para directivos de la C.M. Medidas de seguridad en los tratamientos de datos personales IDENTIDAD DIGITAL: Privacidad Protocolos criptográficos • Firmas grupales • Firma dual • Pruebas de conocimiento nulo (ZKP) • Certificados digitales anónimos • Firmas ciegas • Cifrado biométrico I Jornada de Protección de datos para directivos de la C.M. Medidas de seguridad en los tratamientos de datos personales REGLAMENTO LOPD: Título VIII. Capítulo III MEDIDAS DE SEGURIDAD: Técnicas • Autenticación de usuarios ((Art. 93,, 98)) • Control de accesos (Art (Art. 91) • Cifrado de información (Art. 101, 104) • Registros de auditoria (Art. 103) I Jornada de Protección de datos para directivos de la C.M. Medidas de seguridad en los tratamientos de datos personales REGLAMENTO LOPD: Título VIII. Capítulo III DISTRIBUCIÓN SOPORTES: Nivel alto (Art. 101.3) Deberá D b á evitarse it ell ttratamiento t i t d de d datos t d de carácter p personal en dispositivos p p portátiles q que no permitan su cifrado. En caso de que sea estrictamente necesario se hará constar motivadamente en el documento de seguridad y se adoptarán medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos I Jornada de Protección de datos para directivos de la C.M. Medidas de seguridad en los tratamientos de datos personales REGLAMENTO LOPD: Título VIII. Capítulo III DISTRIBUCIÓN Ó DE SOPORTES: Nivel alto (Art. 101.2) La distribución de los soportes [[…]] se realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha información p durante su no sea accesible o manipulada transporte. Asimismo, se cifrarán los datos que contengan los dispositivos portátiles cuando éstos se encuentren fuera de las instalaciones que están bajo el control del responsable del fichero I Jornada de Protección de datos para directivos de la C.M. Medidas de seguridad en los tratamientos de datos personales REGLAMENTO LOPD: Título VIII. Capítulo III COPIAS DE RESPALDO: Nivel alto (Art. 102) Deberá conservarse una copia de respaldo de l datos los d t y de d llos procedimientos di i t d de recuperación de los mismos en un lugar diferente […], que deberá cumplir en todo caso g exigidas g en este las medidas de seguridad título, o utilizando elementos que garanticen la integridad y recuperación de la información información, de forma que sea posible su recuperación I Jornada de Protección de datos para directivos de la C.M. Medidas de seguridad en los tratamientos de datos personales REGLAMENTO LOPD: Título VIII. Capítulo III TELECOMUNICACIONES: Nivel alto (Art. 104) Cuando, […] deban implantarse las medidas de seguridad de nivel alto, la transmisión de datos personal a través de redes p públicas de carácter p o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros I Jornada de Protección de datos para directivos de la C.M. Medidas de seguridad en los tratamientos de datos personales BASES DE DATOS: DATOS Cinco Ci puntos t clave l d de inseguridad1 5. Existe un evidente retraso en la aplicación de técnicas de cifrado sobre las bases de datos Estudio 2010 del “Independent Oracle Users Group's” I Jornada de Protección de datos para directivos de la C.M. Medidas de seguridad en los tratamientos de datos personales CIFRADO. Ubicación de los mecanismos • Nivel de red – IP sec • Nivel de transporte – SSL/TLS/WTLS – SSH (Secure Shell) • Nivel Ni l d de aplicación li ió – Algoritmos de compresión – Microsoft Office – S/MIME (p (p. ej. j Outlook)) I Jornada de Protección de datos para directivos de la C.M. Medidas de seguridad en los tratamientos de datos personales CIFRADO DE LOS DATOS: Nivel aplicación Procesadores de textos • Microsoft Mi ft Offi Office Word W d • Adobe Acrobat Profesional Agentes de correo • Microsoft Outlook Algoritmos de compresión • WinRAR AES 128 • WinZip Algoritmo propietario I Jornada de Protección de datos para directivos de la C.M. Medidas de seguridad en los tratamientos de datos personales AGE: Conexiones https frente a http1 18% https http 82% Informe REINA 09 I Jornada de Protección de datos para directivos de la C.M. Medidas de seguridad en los tratamientos de datos personales CIFRADO DE DATOS: Nivel de red (IP v v.6, 6 IPsec Internet I Jornada de Protección de datos para directivos de la C.M. Medidas de seguridad en los tratamientos de datos personales REGLAMENTO LOPD: Título VIII. Capítulo III MEDIDAS DE SEGURIDAD: Técnicas • Autenticación de usuarios ((Art. 93,, 98)) • Control de accesos (Art (Art. 91) • Cifrado de información (Art. 101, 104) • Registros de auditoria (Art. 103) I Jornada de Protección de datos para directivos de la C.M. Medidas de seguridad en los tratamientos de datos personales REGLAMENTO LOPD: Título VIII. Capítulo III CONTROL DE ACCESOS: Nivel básico (Art. 91) 1 Los L usuarios i ttendrán d á acceso autorizado t i d únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones 2 [[…]] 2. 3. El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados I Jornada de Protección de datos para directivos de la C.M. Medidas de seguridad en los tratamientos de datos personales REGLAMENTO LOPD: Título VIII. Capítulo III CONTROL DE ACCESOS: Nivel básico (Art. 91) 4. Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los recursos, conforme a los criterios establecidos por el responsable del fichero I Jornada de Protección de datos para directivos de la C.M. Medidas de seguridad en los tratamientos de datos personales REGLAMENTO LOPD: Título VIII. Capítulo III MEDIDAS DE SEGURIDAD: Técnicas • Autenticación de usuarios ((Art. 93,, 98)) • Control de accesos (Art (Art. 91) • Cifrado de información (Art. 101, 104) • Registros de auditoria (Art. 103) I Jornada de Protección de datos para directivos de la C.M. Medidas de seguridad en los tratamientos de datos personales REGLAMENTO LOPD: Título VIII. Capítulo III REGISTRO DE ACCESOS: Nivel alto (Art. 103) • Datos a guardar (103.1 y 103.2) • Responsabilidad de su custodia (103.3) • Periodo mínimo de conser conservación ación (103 (103.4) 4) • Revisión mensual mensual, informe y problemas (103 (103. 5) • Excepciones p al registro g ((103. 6)) I Jornada de Protección de datos para directivos de la C.M. Medidas de seguridad en los tratamientos de datos personales REGLAMENTO LOPD: Título VIII Disposición adicional única. Productos de software. Los productos de software destinados al tratamiento automatizado de datos personales deberán incluir en su descripción técnica el nivel de seguridad, seg ridad básico básico, medio o alto alto, q que e permitan alcanzar de acuerdo con lo establecido en el título VIII de este reglamento I Jornada de Protección de datos para directivos de la C.M. Medidas de seguridad en los tratamientos de datos personales REGLAMENTO LOPD: Título VIII. Capítulo III MEDIDAS DE SEGURIDAD: Físicas Art. 99. Exclusivamente el personal autorizado en el documento de seguridad podrá tener acceso a los locales donde se encuentren los sistemas de información con datos de carácter personal I Jornada de Protección de datos para directivos de la C.M. Medidas de seguridad en los tratamientos de datos personales REGLAMENTO LOPD: Título VIII MEDIDAS DE SEGURIDAD: Organizativas • Documento de seguridad • Registro R i t d de iincidencias id i • Gestión de soportes • Copias de respaldo y recuperación • Distribución de soportes • Auditoría I Jornada de Protección de datos para directivos de la C.M. Medidas de seguridad en los tratamientos de datos personales I Jornada de Protección de Datos para Directi os de la Comunidad Directivos Com nidad de Madrid Medidas de seguridad en los tratamientos de d datos d personales l Arturo Ribagorda Garnacho 5 de octubre de 2010