tag:blogger.com,1999:blog-5399811056563385935.post4578009003028052489..comments2023-09-21T14:48:16.670+02:00Comments on Security By Default: La importancia del QUIÉN y el CUANDO en un documentoYago Jesushttp://www.blogger.com/profile/16830228750771246202noreply@blogger.comBlogger9125tag:blogger.com,1999:blog-5399811056563385935.post-89505565595044767982013-10-22T10:05:25.012+02:002013-10-22T10:05:25.012+02:00Perdona que haga de abogado del diablo eh? Obviame...Perdona que haga de abogado del diablo eh? Obviamente tienes razón en la garantía jurídica del tercero, aquí lo clásico sería ir al notario, que abriera ese buzón de gmail y certificara el contenido del documento, en este caso Gmail siempre juega a nuestro favor porque, si bien no podemos hacer un forensics, el jefe no puede tocarlo, ni nosotros modificarlo en principio.<br /><br /><br />Dicho esto si me pongo de freelance algún día usaré vuestro servicio seguro.dsa10noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-992246036127383992013-10-21T19:52:25.053+02:002013-10-21T19:52:25.053+02:00A ver, es que tal y como funciona el servicio, NAD...A ver, es que tal y como funciona el servicio, NADIE tiene acceso al documento o su contenido, es decir, aquí NO hay intervención humana, solo adjuntos que se firman y se sellan, da igual que sea un catálogo de marketing o documentación clasificada por los EEUU, a efectos del servicio todos los documentos son procesados y luego borradosYago Jesushttp://www.securitybydefault.comnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-13670024609300318042013-10-21T17:04:57.750+02:002013-10-21T17:04:57.750+02:00Hola Yago,
perdón por la intromisión, no es mi i...Hola Yago,<br /><br /><br />perdón por la intromisión, no es mi intención hacer flame, pero digamos que os llega un documento sobre algo infinitamente preciado, como un manual para hacer la piedra filosofal, una fórmula matemática que te permita saber si un número es primo o la prueba irrefutable de quien mató a Kennedy (en el caso de que estas cosas fuesen posibles); por mucha LOPS y LSSI y políticas de privacidad que tengáis, ¿de verdad ningún empleado de vuestra empresa haría uso de esa información?Wrinernoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-29627640075034754382013-10-21T15:47:03.283+02:002013-10-21T15:47:03.283+02:00Imagina que no existe mail corporativo y que Juan ...Imagina que no existe mail corporativo y que Juan actúa como freelance usando otro servidor de correo tipo Gmail o incluso que se usa Google Apps donde no puedes 'meter mano'.<br /><br /><br />Y siempre tiene más garantía jurídica alguien que haga de tercero que una auto-investigaciónYago Jesushttp://www.securitybydefault.comnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-41491333880461359172013-10-21T15:45:27.607+02:002013-10-21T15:45:27.607+02:00Sobre lo primero que dices, tu puedes contratar un...Sobre lo primero que dices, tu puedes contratar un servicio profesional con eGarante, es una empresa que opera en España, cumple la LOPD y la LSSI y tiene un muy detallada política de privacidad http://www.egarante.com/aviso-legal-y-politica-de-privacidad/<br /><br /><br />Respecto a lo segundo que dices, se han tomado medidas para evitar la falsificación de correos.<br /><br /><br />Y tu última reflexión no la entiendo, por esa misma regla de tres, invalidemos el registro de marcas ya que una persona puede registrar una marca que no sea suya. <br /><br /><br /><br />El matiz está en que tu, como creador, siempre vas a tener en primera instancia la oportunidad de tomar medidas, es algo que está en tu mano al ser quien genera el documento, si no lo haces y negligentemente permites que otro lo haga, no creo que sea problema del sistemaYago Jesushttp://www.securitybydefault.comnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-6041353842454584542013-10-21T11:03:30.047+02:002013-10-21T11:03:30.047+02:00Simplemente con que Juan hubiera enviado el docume...Simplemente con que Juan hubiera enviado el documento a su jefe por el email corporativo, en vez del dropbox este, que me parece un poco rebuscado, ya podría demostrarle al socio la autoría del documento original, sin violar las políticas de confidencialidad de la empresa y suponiendo que el supervisor no puede enmierdar en el servidor de correo de sus empleados.dsa10noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-54801354202915591002013-10-21T09:39:03.773+02:002013-10-21T09:39:03.773+02:00Me corrijo, en esta aplicación si que es necesario...Me corrijo, en esta aplicación si que es necesario subir el documento. Perdón por el error!!!<br /><br /><br />Un saludo.igokingnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-71752579877957015382013-10-21T09:22:16.119+02:002013-10-21T09:22:16.119+02:00Yo entiendo que solo mandas el hash del documento ...Yo entiendo que solo mandas el hash del documento que es lo que se firma ¿no? Al menos en los timestamps firmados funciona así. Envías el hash y la TSA devuelve la firma que se adjunta al documento original. <br /><br /><br />Un saludo.igokingnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-12230165475073008802013-10-21T08:55:41.947+02:002013-10-21T08:55:41.947+02:00A mi me preocuparían dos cosas, la primera, la con...A mi me preocuparían dos cosas, la primera, la confidencialidad de la información que va en el documento, porque el mandar un correo con datos clasificados a un tercero sin ningún contrato de confidencialidad firmado, no es algo muy tranquilizador.<br /><br /><br />Por otro lado, el tema del mail spoofing, capturas de sesión, DOS y SLAs, etc.<br /><br /><br />En el caso de "Juan" si el jefe hubiese usado ese servicio antes que él, tendría el mismo problema.<br /><br /><br />Un saludo,<br />Juanma.Juanmanoreply@blogger.com