En un mundo cada vez más digitalizado, donde los datos se encuentran en el centro de toda estrategia de negocios, las empresas capturan, procesan y transmiten enormes cantidades de información de sus clientes como parte de sus operaciones diarias. Al mismo tiempo, las constantes fugas de información y ciberataques ponen en riesgo todos los días la información de las empresas y sus clientes. Esto coloca a las empresas en una situación de extrema vulnerabilidad, no solo por el hecho de ser susceptibles a recibir multas o sanciones económicas, sino también por el inminente riesgo de ver afectada su reputación.
Regulaciones más estrictas
A nivel internacional, una de las normas de privacidad más relevante es GDPR, que afecta a toda empresa de la Unión Europea o extranjeras (incluidas las con base en América Latina), siempre que almacenen datos de ciudadanos europeos. Desde su entrada en vigor el 25 de mayo de 2018, existe un número creciente de empresas que han debido afrontar multas que pueden llegar a 20 millones de euros o el 4% de la facturación de la empresa sancionada.
En Chile, se cuenta desde 1999 con la Ley 19.628 que contempla la protección de datos de carácter personal, que establece una primera conceptualización en torno al tema. Recientemente, el 16 de junio de 2018, fue publicada la Ley Nº 21.096, que eleva a rango constitucional el Derecho a la Protección de datos personales. Es inminente la aprobación del nuevo proyecto de Ley que reemplazará a la 19.628, que establecerá multas más altas y designará la creación de una Agencia de Protección de Datos Personales, como órgano de control en esta materia.
En Argentina existe una regulación que ha ido cambiando la cultura del ciudadano común (Ley de Protección de Datos Personales 25.326 – https://www.argentina.gob.ar/aaip/datospersonales/responsables). En 2018 se presentó ante el Congreso Nacional la necesidad de actualizar las normativas .
En América Latina existen ciertas regulaciones con diversos grados de madurez como lo muestra el siguiente cuadro para la gestión de la Protección de los Datos:
Por dónde comenzar
Assertiva ayuda a las organizaciones a definir un programa de privacidad de datos, abordando iniciativas tecnológicas, legales, contractuales y de negocio, en base a una metodología de 4 fases: Descubrimiento y Evaluación, Gobierno Corporativo, Implementación de Controles y Monitoreo de Cumplimiento.
La metodología propone un framework que no solo pone el foco en los aspectos regulatorios, tanto locales como internacionales, sino también en buenas prácticas y estándares de privacidad como la norma ISO/IEC 29100:2011 para la protección de la Información de Identificación Personal (PII).:
FASE I – Descubrimiento y Evaluación
Consiste en el proceso de identificación y clasificación de los activos que pueden vincularse directa o indirectamente a personas físicas identificadas o identificables. Al mismo tiempo, se evalúan los controles actuales sobre la información identificada en todos sus soportes, sean informáticos o no. También se genera un plan de acción con las principales iniciativas de mitigación.
Entregables:
– Inventario y flujo de datos sensibles
– Mapa de activos críticos
– Revisión del modelo actual de gestión de datos personales
– Plan de acción
FASE II –Gobierno Corporativo
Parte con la designación de un Oficial de Protección de Datos (DPO) que realiza la gestión de todas las actividades internas de protección de datos, aconsejando sobre las evaluaciones de impacto de la protección de datos, aspectos jurídicos, capacitación del personal y otras actividades que pudieran impactar en el ciclo de vida de los datos sensibles.
Entregable:
– Definición de actores y sus roles en el procesamiento de datos
– Creación e implementación de un programa y políticas de datos personales
– Principios de privacidad, implantación de un modelo de “privacidad por diseño”
– Due diligence, accountability, contratos y transferencias internacionales
– Aspectos legales y la elaboración de contratos robustos para la protección de datos de usuarios y clientes
FASE III – Implementación de Controles
Consiste en la definición de un conjunto de procedimientos y herramientas de acuerdo con el plan de acción llevado a cabo en la fase de evaluación. A nivel de herramientas, Assertiva diseña e implementa un conjunto de herramientas que buscan detectar, proteger y encriptar/tokenizar los datos sensibles dentro de la organización, como por ejemplo:
a) Control de fugas de datos (DLP, Data Loss Prevention)
b) Gestión de identidades y accesos: conjunto de herramientas que buscar implementar controles para definir quien puede acceder a los datos sensibles y bajo qué condiciones.
c) Monitoreo de datos sensibles: conjunto de herramientas orientadas a la protección de bases de datos que contienen información sensible, como firewalls y monitores de bases de datos.
d) Encripción y tokenización: herramientas que tienen como finalidad reemplazar la información sensible por datos cifrados o pseudónimos (datos artificiales que surgen de aplicar tokenización). Para más información ver la sección “beneficios de la tokenización”.
FASE IV – Monitoreo de Cumplimiento
Proceso de evaluación orientado a la mejora continua en el modelo de gestión de datos personales. Considera auditorías internas, mediciones y el análisis de todo cambio interno o externo que pudiera impactar en el estado actual de cumplimiento de la empresa.
Protección de Datos con Voltage Secure Data
Normativas como GDPR y PCI-DSS, así como la ley chilena de protección de datos personales (cuya nueva versión está próxima de ser sancionada), recomiendan encripción y cifrado como una de las medidas más efectivas y de bajo impacto para lograr el cumplimiento.
Assertiva y Micro Focus implementan Voltage Secure Data, solución líder orientada al cifrado, seudonimización y tokenización para la privacidad de todos los datos sensibles corporativos. Voltage protege la información en todo su ciclo de vida sin importar su tipo o formato, asegurándolos ya sea en reposo, en movimiento o en el uso, mediante la integración de la protección en los propios datos y tiene la capacidad de integrarse con todas las plataformas corporativas con un mínimo impacto.
Principales características:
• Format Preserving Encryption (FPE). Encripción y tokenización de alto rendimiento preservando el formato original de los datos protegidos.
• Secure Stateless Tokenization (SST). Tokenización avanzada, que no requiere de una bóveda de tokens.
• Solución certificada FIPS 140-2 y Common Criteria.
• Diseñado para demanda intensiva de cómputo y alta transaccionalidad.
• Permite múltiples configuraciones, escalabilidad y alta disponibilidad.
• Gama flexible de interfaces que incluyen REST, SOAP y APIs para la integración con una amplia gama de bases de datos, aplicaciones y plataformas
• Permite el cumplimiento de normas y estándares como PCI y GDPR, entre otras.
Contáctanos haciendo clic aquí para conocer cómo la protección de datos puede ser un driver estratégico para tu organización.
Links de interés:
• Voltage SecurData Data Sheet: https://www.microfocus.com/media/data-sheet/voltage_securedata_security_ds.pdf
• Voltage SecureData Enterprise: https://www.microfocus.com/en-us/products/voltage-data-encryption-security/overview
• Contacto con Assertiva: https://www.assertiva.biz/#contacto
• http://servicios.infoleg.gob.ar/infolegInternet/anexos/60000-64999/64790/norma.htm
• https://www.argentina.gob.ar/sites/default/files/mensaje_ndeg_147-2018_datos_personales.pdf