Como complemento al post “Seguridad en Fibra Óptica - Parte I: Fundamentos, métodos de extracción y riesgos” publicado por Jorge García Carnicero lanzamos el presente post en el que intentaremos mostrar, de forma sumaria, los requerimientos legales exigibles, con carácter más general, en las comunicaciones a realizar.
1.- Principales Normas Aplicables a la Seguridad en Comunicaciones
Es múltiple y variada la normativa que exige medidas de seguridad adicionales en materia de comunicaciones.
Así, con carácter general las normas más aplicables son las siguientes:
A. Ley Orgánica de Protección de Datos de Carácter Personal (LO 15/1999, de 13 de diciembre), y su Reglamento de Desarrollo (aprobado por RD 1720/2007 de 21 de diciembre).
El objetivo principal de la normativa sobre Protección de Datos es “garantizar y proteger tratamiento de los datos personales en los ámbitos públicos y privados”, es decir, la protección de un derecho fundamental como es el derecho al honor, intimidad personal y familiar y a la propia imagen, reconocido por el art. 18 de la Constitución.
Esta normativa califica los datos en función de su sensibilidad en tres niveles (básico, medio y alto), estableciendo medidas de seguridad tipificadas también en esos tres niveles.
Así, y en relación con la materia del presente post, el RD 1720/2007 establece como Medida de nivel alto, la Obligación de cifrar los datos en la transmisión de datos personales por redes de comunicaciones:
Art. 104 “la transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros”
En este sentido, se ha manifestado la Agencia Española de Protección de Datos a través de sus Informes Jurídicos, como por ejemplo, el Informe Jurídico 0494/2009 donde se establece:
“Es necesario cifrar de forma que la información no sea inteligible ni manipulada por terceros. Sin esta última condición, no se cumplirá lo estipulado en el citado artículo 104 RD 1720/2007.
- Que el sistema de cifrado a emplear no este comprometido – que no se conozca forma de romperlo.
- La garantía necesaria para preservar la confidencialidad de las comunicaciones no sólo descansa en el sistema de cifrado, sino también en el sistema de gestión de claves y en el procedimiento de administración de material criptográfico.
En el mismo Informe, también expresaba la AEPD:
“La seguridad en el intercambio de información de carácter personal en la que hay que adoptar medidas de seguridad de nivel alto (requisitos de cifrado de datos), no es un tema baladí, ni un mero trámite administrativo... Es el medio técnico por el cuál se garantiza la protección de un derecho fundamental y al que hay que dedicar el tiempo y los recursos que sean necesarios para su correcta implementación.”
B. Ley de Prevención Blanqueo de Capitales y de la Financiación del Terrorismo (Ley 10/2010, de 28 de Abril).
El objeto de esta Ley es la protección de la integridad del sistema financiero y de otros sectores de actividad económica mediante el establecimiento de obligaciones de prevención de blanqueo de capitales y de la financiación del terrorismo.
La presente Ley es aplicable a todos los movimientos económicos que puedan llegar a suponer algún tipo de fraude contra el sistema financiero, así a modo de ejemplo, podemos nombrar a; entidades financieras, entidades aseguradoras, intermediarios en el otorgamiento de préstamos, créditos, servicios de inversión, promotores inmobiliarios, notarios, registradores, abogados, casinos de juego y un largo etc…
En relación con la protección de los datos de carácter personal que puedan ser tratados en las actividades sometidas a la presente Ley y las medidas de seguridad a implantar, el art. 32 establece:
- Art. 32. Protección datos carácter personal -> El tratamiento de datos de carácter personal, así como los ficheros, automatizados o no, creados para el cumplimiento de las disposiciones de la presente Ley, se someterán a la LOPD.
- Art. 32.5: “Serán de aplicación a los ficheros a los que se refiere este artículo las medidas de seguridad de nivel alto previstas en la normativa de protección de datos de carácter personal”.
Por tanto, y como hemos visto anteriormente, será de aplicación lo establecido en el art. 104 del RD 1720/2007, de 21 de Diciembre, en cuanto al cifrado de datos en la transmisión por redes de comunicaciones.
C. Esquema Nacional de Seguridad
El Esquema Nacional de Seguridad, aprobado por Real Decreto 2/2010 de 8 de enero, tiene como objetivo principal el establecimiento de los principios y requisitos de una política de seguridad que permita la adecuada protección de la información de manera que se creen las condiciones necesarias de confianza en el uso de los medios electrónicos.
Los Sujetos obligados a cumplir esta normativa son; Las Administraciones Públicas -> Administración General del Estado, CCAA, Entidades que integran la Administración Local, Entidades de Derecho Público vinculadas o dependientes de las mismas.
Las Medidas de seguridad exigidas por el Esquema Nacional de Seguridad deberán ser proporcionales a:
Así se establecen unos grupos de medidas de seguridad categorizadas como; Organizativas, Operacionales y de Protección.
El Esquema Nacional de Seguridad, establece en su artículo 21 la obligatoriedad de Protección de la información almacenada y en tránsito estableciendo “Se prestará especial atención a la información almacenada o en tránsito a través de entornos inseguros (portátiles, PDA, periféricos, soportes información y comunicación sobre redes abiertas o con cifrado débil)
D. PCI- DSS
La denominada PCI – DSS (Payment Card Industry – Data Security Standard) es un Estándar de seguridad de datos para la industria de tarjeta de pago, un Consejo de normas de seguridad de la Industria de Tarjetas de Pagos, formado por los principales proveedores de tarjetas (Visa, MasterCard, American Express…)
Este Estándar establece 12 requisitos de seguridad y sus correspondientes procedimientos de prueba.
El objetivo principal del PCI-DSS es aunar esfuerzos en la securización del entorno de las tarjetas de pago, facilitar la adopción de medidas de seguridad consistentes a nivel muncial y reducir los casos de fraude.
Entre los requisitos de seguridad exigidos, cabe destacar el número 4 “Cifrar transmisión de datos del titular de la tarjeta en redes públicas abiertas” que establece:
- “Utilice cifrado sólido y protocolos de seguridad (p.ej. SSL/TLS, IPSEC, SSH…), para proteger datos confidenciales del titular de la tarjeta durante la transmisión por redes públicas abiertas.
Se consideran Redes públicas abiertas dentro del alcance del PCI-DDS (Internet, tecnologías inalámbricas, GSM, GPRS… )
- 4.1.1 Utilización mejores prácticas industrias (IEEE 802.11i) a los efectos de implementar cifrados sólidos para la autenticación y transmisión.
- 4.2 No enviar PAN (número de cuenta) no cifrados por medio de tecnologías de mensajería de usuario final (email, mensajería instantánea, chat)”
2.- Consecuencias ante la falta de cifrado según normativa legal
La Ley Orgánica de Protección de Datos, establece en los artículos 43 y siguientes la tipificación de infracciones y sanciones, a las que podrán enfrentarse responsables de ficheros y encargados de tratamiento.
Las infracciones se clasifican en Leves, Graves y Muy Graves
La falta de implantación de medidas de seguridad es tipificado por la LOPD como una infracción de carácter grave, estableciendo al efecto “mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen”.
Las infracciones cometidas serán castigadas con la imposición de las sanciones también previstas en la LOPD que se categorizan en:
A continuación se mencionan algunas resoluciones sancionadoras de la AEPD en materia de falta de medidas de seguridad, y en concreto, falta de cifrado de datos:
- PS – 459 - 2008: Correduría de Seguros – Obtención de datos nivel alto por E.T– Falta medidas de seguridad -> Sanción de 60.101,21 € Encargado de tratamiento -> Posibilitar acceso vía web a datos personales (de nivel alto) de terceros. No existencia procedimiento de cifrado.
- PS – 353 - 2010: Centro Médico especializado – Envío datos salud por fax no cifrado a compañía aseguradora - Falta medidas de seguridad -> Sanción 3000 € -> Sanción reducida por disminución culpabilidad.
---------------------------------------------------------------------------------------------------------------
Contribución por María González Moreno
0 comments :
Publicar un comentario