ARSYS ATACADO

Ayer en todos los medios de comunicación, se podía leer:

"Un importante proveedor de servicios de Internet español (hosting y registro de dominios) ha sufrido el robo de datos personales de 120.000 clientes, incluidos claves de email, datos bancarios, teléfonos y domicilios"

Después de mucha confusión sobre quien sufre el ataque, se confirma, la empresa afectada es ARSYS.
La Asociación de Internautas publica el comunicado recibido, en el que Arsys admite un ataque, aunque afirma que la gravedad es mucho menor de lo comentado en la noticia.

Ahora Arsys solo puede rezar para que los afectados no le pidan indemnizaciones por los daños y perjuicios sufridos hasta ahora, los cuales todavía no han sido valorados realmente, así como por los que quedan por venir...

Seguirá...

"Compra por Internet" sigue en suspenso

Podemos leer en el Barrometro de consumo 2007, referido a uso de las Nuevas Tecnologías hoy en España,
"En general, los usuarios siguen creyendo que Internet no es un medio seguro para comprar.

Este Barómetro lleva seis años preguntando a los consumidores dos cuestiones referidas a esta percepción. Por un lado, si piensan que Internet es un medio seguro para comprar y, por otro, si creen que en Internet están garantizados los derechos del consumidor. Ambas preguntas reciben una respuesta concluyente: no.
Porque los encuestados otorgan una media de 4,7 puntos sobre 10 posibles a la seguridad de Internet como medio de compra y pago, y de 4,35 puntos a la garantía que ofrece de cumplimiento de los derechos reconocidos a los consumidores.
La situación ha mejorado algo desde 2001 (en que los valores eran de 3,75 y 3,71, respectivamente), pero muy poco desde el año pasado (4,6 y 4,4, respectivamente) y sigue en zona de suspenso."

Articulo completo: Consumer.es

Ojo con Google

Google recibe una advertencia sobre la protección de datos

Google, el principal buscador de Internet, podría estar violando las leyes de privacidad europeas al mantener los datos de las búsquedas durante periodos de hasta dos años, según advirtieron a la compañía grupos de protección de datos de la UE.

Una carta remitida a Google por un grupo de organismos asesores nacionales, que aconseja a la UE sobre política de privacidad, se mostró preocupado porque la compañía estuviera manteniendo demasiado tiempo la información sobre las búsquedas de los usuarios. La preocupación es acerca de mantener la información de las búsquedas de los usuarios por un período definitivo de tiempo entre los 18 y 24 meses.

Con cada búsqueda, Google reúne información sobre los gustos, intereses y creencias del consumidor que podrían usar potencialmente terceros, desde grupos religiosos a anunciantes.

continuará... Fuente: http://www.leydeprotecciondedatos.com

Los Tecnicos de Sistemas espián a sus colegas

"El personal TI es poco fiable".
Tal sería la conclusión de investigación británica donde se indica que los administradores TI abusan de su cargo para espiar a sus propios compañeros de trabajo.

Uno de cada tres empleados TI espía ilegalmente el correo electrónico, documentos, información salarial y otros datos confidenciales de sus compañeros de trabajo.
Tal es la conclusión de una investigación altamente informal realizada por la compañía británica Cyber Ark Software, basada en entrevistas a 200 ejecutivos TI asistentes a la feria informática InfoSec de Londres.
El propósito del estudio era, en realidad, establecer en qué medida el personal TI había mejorado sus rutinas de protección de contraseñas. En la parte inicial del estudio quedó comprobado que tal no es el caso.

• Más de la mitad de los consultados continúa escribiendo sus contraseñas en papeles sueltos, costumbre que también se observa entre el personal con acceso de administradores a los sistemas de la empresa.
• Una tercera parte de los consultados admitió abiertamente haber usado sus derechos de administrador para espiar datos confidenciales de sus compañeros de trabajo.
• Algunos incluso revelaron que ex empleados continuaban teniendo acceso a los sistemas de la empresa."Ya no es necesario violentar físicamente el escritorio del departamento de personal para obtener información confidencial. Si tienes la contraseña del administrador puedes husmear todo lo que quieras", comentó Calum Macleon, director de la división europea de Cyber Ark, a la publicación Ars Technica.

Cabe señalar que Cyber-Ark vende precisamente software para la protección de información confidencial. Fuente: http://seguinfo.blogspot.com/

J2M no vende Sofware, pero si Acuerdos, Contratos y Normativas, entre otros los específicamente dirigidos a los administradores de sistemas (que muchas veces son subcontratados!) y que permiten que el administrador se de cuenta que la Información no es suya, sino de la empresa, y que su uso inadecuado puede tener consecuencias negativas para el.
También realizamos una labor de información dirigida a los usuarios finales, los cuales no ponen remedio a estas practicas ya que las desconocían, y donde les informamos de sus derechos!...

En relación a este hecho la Agencia no se queda al margen y antes de proponer software, publica el siguiente documento:

• Creación de sistemas de denuncias internas en las empresas, mecanismos de whistleblowing Descargar Pdf (desde Agpd.es)

Cuida tu privacidad

Multa LOPD de 1 Million de Euros!

El Tribunal Supremo ha confirmado la sanción de 1,08 millones de euros impuesta por la Agencia Española de Protección de Datos (AEPD) a Zeppelin Televisión S.A., la productora del programa “Gran Hermano”.

Según la sentencia publicada, a los candidatos (unos 7.000), se les preguntó sobre ideología, creencias religiosas, raza, salud, gustos o vida sexual, sin que, en ningún momento, se les comunicara que dichos datos iban a ser tratados informáticamente, ni quién iba a manejar la información. De hecho, los ficheros fueron cedidos a terceros sin la debida garantía y sin ningún contrato que vinculara la privacidad de los mismos y su adecuación a la LOPD.

La sentencia establece que la productora era la última beneficiaria del fichero y de su finalidad; y que el hecho de que las personas dieran voluntariamente unos datos en un cuestionario no eximía de la autorización adecuada por parte de estos para cualquier uso posterior.


Fuente: http://www.leydeprotecciondedatos.com

Multado por vender software pirata

Multan a una tienda de Vitoria por instalar software ilegal en sus ordenadores
El Juzgado de Instrucción número 2 de Vitoria ha condenado a FJ.P.R, responsable de la tienda 'Bikain Ordenadores', a pagar una multa de 2.160 euros y a indemnizar con 281.811 euros a la empresa Microsoft por un delito continuado contra la propiedad intelectual, al haber instalado copias no autorizadas de programas de esta compañía en los ordenadores que vendía.

Sigue en "La Flecha"

J2M
.

NUEVO REGLAMENTO LOPD: Novedades con "El Deber de Información"

Dos nuevos Artículos en el Reglamento de desarrollo de la LOPD (en proyecto todavía), plasman perfectamente, que la acreditación del deber de información es obligatoria, y que la recogida de datos de menores (en principio menores de 14 Años) deba de efectuarse según condiciones especificas.
A saber:

............
CapituloII: Deber de información al interesado

Artículo 15. Acreditación del cumplimiento del deber de información.
1. El deber de información al que se refiere el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, deberá llevarse a cabo a través de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos del afectado.
2. El responsable del fichero o tratamiento deberá conservar el soporte en el que conste el cumplimiento del deber de informar. Para el almacenamiento de los soportes, el responsable del fichero o tratamiento podrá utilizar medios informáticos o telemáticos. En particular podrá proceder al escaneado de la documentación en soporte papel, siempre y cuando se garantice que en dicha automatización no ha mediado alteración alguna de los soportes originales.

Artículo 16. Deber de información a menores de edad.
1. Cuando el tratamiento se refiera a datos de menores de edad, la información dirigida a los mismos deberá expresarse en un lenguaje que sea fácilmente comprensible por aquéllos, con expresa indicación de lo dispuesto en el artículo 10.3.
2. Corresponderá al responsable del fichero o tratamiento articular los procedimientos que garanticen que se ha comprobado de modo efectivo la edad del menor y la autenticidad del consentimiento prestado en su caso, por los padres o representantes legales.

.....

Menos mal, dice támbien en el Articulo 11 del mismo Reglamento:

...En particular, cuando se trate de responsables que presten al afectado un servicio de facturación periódica, la comunicación podrá llevarse a cabo de forma conjunta a la facturación del servicio prestado.

NUEVO REGLAMENTO LOPD: Medidas de seguridad para con el PAPEL

MEDIDAS DE SEGURIDAD APLICABLES A LOS FICHEROS Y TRATAMIENTOS NO AUTOMATIZADOS (extracto del proyecto del reglamento de desarrollo de la LOPD - Junio 07)

Nuestros comentarios en ROJO..

......................

Medidas de seguridad de NIVEL BASICO (Es decir cualquier papel con Nombre y Apellido, junto a cualquier otra información personal (ej: Num. Telf, Dirección, Empresa y/o puesto de trabajo, etc...))

Artículo 103. Obligaciones comunes.
Tal y como lo especifica el R.M.S. actual, el soporte papel debe cumplir las mismas obligaciones que la información guardada en su formato electrónico. El nuevo reglamento recuerda claramente esta obligación en este Articulo

1. Además de lo dispuesto en el presente capítulo, a los ficheros no automatizados les será de aplicación lo dispuesto en los Capítulos I y II del presente Título en lo relativo a:a) Niveles de seguridad - b) Alcance. - c) Encargado del tratamiento. - d) Prestaciones de servicios sin acceso a datos personales. - e) Delegación de autorizaciones. - f) Régimen de trabajo fuera de los locales del responsable del fichero o encargado del tratamiento. - g) Copias de trabajo de documentos. - h) Documento de seguridad.
2. Asimismo se les aplicará lo establecido por la Sección Primera del CapítuloIII del presente Título en lo relativo a:a) Funciones y obligaciones del personal. - b) Registro de incidencias. - c) Control de acceso. - d) Gestión de soportes.
Los siguientes artículos dejan clara que los datos de carácter personal almacenado en soporte papel, deben someterse a medidas específicas y rigorosas.


Artículo 104. Criterios de archivo.
Habrá que hacer limpieza, no se puede conservar información que no sea necesaria!!!

El archivo de los soportes o documentos se realizará de acuerdo con los criterios previstos en su respectiva legislación. Estos criterios deberán garantizar la correcta conservación de los documentos, la localización y consulta de la información y posibilitar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación. En aquellos casos en los que no exista norma aplicable, el responsable del fichero deberá establecer los criterios y procedimientos de actuación que deban seguirse para el archivo.

Artículo 105. Dispositivos de almacenamiento.
¡¡¡ Todo en cajones cerrados !!!

Los dispositivos de almacenamiento de los documentos que contengan datos de carácter personal deberán disponer de mecanismos que obstaculicen su apertura. Cuando las características físicas de aquéllos no permitan adoptar esta medida, el responsable del fichero o tratamiento adoptará medidas que impidan el acceso de personas no autorizadas.

Artículo 106. Custodia de los soportes.
Y tambien fuera del cajon debe estar protegido!!!

Mientras la documentación con datos de carácter personal no se encuentre archivada en los dispositivos de almacenamiento establecido en el artículo anterior, por estar en proceso de revisión o tramitación, ya sea previo o posterior a su archivo, la persona que se encuentre al cargo de la misma deberá custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada. Medidas de seguridad de

...............

NIVEL MEDIO (Datos relativos a finanzas, créditos, asuntos penales...)

AHORA ha quedado claro , aunque no se disponga de ordenadores en las empresas (privada, autónomo , asociación, club, etc... ) se debe de cumplir igualmente con la Ley de Protección de datos, y adoptar todas las medidas de seguridad.

Artículo 107. Responsable de seguridad.
Medida que J2M aplica desde el nivel Básico, ya que nos parece indispensable un responsable que se encargue de la seguridad de la información, sea el nivel que sea.

Se designará uno o varios responsables de seguridad en los términos y con las funciones previstas en el artículo 93 de este Reglamento.

Artículo 108. Auditoria.
Por supuesto, si existen medidas de seguridad a aplicar, es necesario verificar su implantación y aplicación correcta durante la auditoria...

Los ficheros comprendidos en la presente Sección se someterán, al menos cada dos años, a una auditoria interna o externa que verifique el cumplimiento del presente Título.

..............

Medidas de seguridad de NIVEL ALTO (datos de Salud, religión, afiliación sindical, etc..)

La cosa se pone complicada!!!, los armarios cerrados, también deben de estar en lugares con acceso restringido... Es decir, como mínimo dos "Llaves" hasta llegar a aquellos documentos!

Artículo 109. Almacenamiento de la información.
1.Los armarios, archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de carácter personal deberán encontrarse en áreas en las que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Dichas áreas deberán permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero.
2. Si, atendidas las características de los locales de que dispusiera el responsable del fichero o tratamiento, no fuera posible cumplir lo establecido en el apartado anterior, el responsable adoptará medidas alternativas que, debidamente motivadas, se incluirán en el documento de seguridad.

Artículo 110. Copia o reproducción.
Se trata de que el responsable no pierda de vista las copias que se pueden realizar

1. La generación de copias o la reproducción de los documentos únicamente podrá ser realizada bajo el control del personal autorizado en el documento de seguridad.
2. Deberá procederse a la destrucción de las copias o reproducciones desechadas de forma que se evite el acceso a la información contenida en las mismas o su recuperación posterior.

Artículo 111. Acceso a la documentación.
Además de disponer del listado de usuario con acceso a dicha información, se deberá de registrar su acceso!!!, eso si, no se especifica para cuanto tiempo hay que conservar dicho registro...

1. El acceso a la documentación se limitará exclusivamente al personal autorizado.
2. Se establecerán mecanismos que permitan identificar los accesos realizados en el caso de documentos, que puedan ser utilizados por múltiples usuarios.
3. El acceso de personas no incluidas en el párrafo anterior deberá quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad.

Artículo 112. Traslado de documentación.
Poco nos aclaran en este aspecto!!!, ¿Habrá que ir con maletines con llaves o como en las películas, con el maletín esposado?

Siempre que se proceda al traslado físico de la documentación contenida en un fichero, deberán adoptarse medidas dirigidas a impedir el acceso o manipulación de la información objeto de traslado.



... En resumen, se debe de aplicar medidas estrictas en el tratamiento de la información en soporte papel, sobre todo cuando se trata de información de Nivel Alto.
Los archivadores van a entrar a formar parte de los medios de almacenamiento de la información controlados por la LOPD, y por lo tanto deberán de disponer de medidas adicionales que van a suponer cambios importantes para las empresas...

Plazos para la implantacion de las medidas para los ficheros no automatizados que existieran en la fecha de entrada en vigor del presente Reglamento:

a) Las medidas de seguridad de nivel básico deberán implantarse en el plazo de un año desde su entrada en vigor.
b) Las medidas de seguridad de nivel medio deberán implantarse en el plazo de dieciocho meses desde su entrada en vigor.
c) Las medidas de seguridad de nivel alto deberán implantarse en el plazo de dos años desde su entrada en vigor

J2M...

.

NUEVO REGLAMENTO LOPD

Anunciado para el primer trimestre 2007, el nuevo Reglamento de Medidas de Seguridad en lo que concierne el tratamiento de datos de caracter personal, hace por fin su aparición, el Ministerio de Justicia ha iniciado el trámite de información público del Proyecto de Real Decreto por el que se aprueba el Reglamento de Desarrollo de la LOPD.

---------------------- Revista digital Datospersonales.org [en línea]

El Proyecto de Reglamento, que ha contado con la colaboración y el impulso de la Agencia Española de Protección de Datos, parte de la necesidad de dotar de coherencia a la regulación reglamentaria en todo lo relacionado con la transposición de la Directiva de Protección de Datos y de desarrollar los aspectos novedosos de la Ley Orgánica 15/1999 junto con aquellos en los que la experiencia ha aconsejado un cierto de grado de precisión que dote de seguridad jurídica al sistema.

El Reglamento se estructura en nueve Títulos que desarrollan los aspectos esenciales en esta materia.

El Título I fija el objeto y ámbito de aplicación de la norma además de aportar un conjunto de definiciones que ayudan al correcto entendimiento de la misma, lo que resulta particularmente necesario en un ámbito tan tecnificado como el de la protección de datos personales.

El Título II, se refiere a los principios de la protección de datos y, en particular, a la regulación del modo de captación del consentimiento y, especialmente, cuando se trata del tratamiento de datos de menores. También se incluye lo que podría denominarse un estatuto del encargado del tratamiento, completado con las previsiones en materia de seguridad del Título VIII.

El Título III se ocupa de una cuestión tan esencial como los derechos de las personas en este ámbito, que constituyen el haz de facultades que emanan del derecho fundamental a la protección de datos y que constituyen un elemento crucial en el sistema de garantías para dotar a la persona de un poder de control sobre sus datos personales.

Seguidamente, los Títulos IV a VII permiten clarificar aspectos importantes para el tráfico ordinario, como la aplicación de criterios específicos a determinado tipo de ficheros de titularidad privada que por su trascendencia lo requerían -los relativos a la solvencia patrimonial y crédito y los utilizados en actividades de publicidad y prospección comercial-, el conjunto de obligaciones materiales y formales que deben conducir a los responsables a la creación e inscripción de los ficheros, los criterios y procedimientos para la realización de las transferencias internacionales de datos, y, finalmente, la regulación de un instrumento, el código tipo, llamado a jugar cada vez un papel más relevante como elemento dinamizador del derecho fundamental a la protección de datos.

A su vez, el Título VIII regula las medidas de seguridad que deben adoptarse para dar cumplimiento al deber de seguridad, que debía abordarse con un especial rigor ya que en esta materia han confluido distintos elementos muy relevantes, desde la experiencia dimanante de la aplicación del Real Decreto 994/1999 a la adaptación de la regulación en distintos aspectos. La regulación incluye la consideración de las múltiples formas de organización material y personal de la seguridad que se dan en la práctica, incluyendo las medidas destinadas a los ficheros y tratamientos estructurados y no automatizados que no se habían abordado hasta este momento.
------------------------------------------

Iremos detallando cada uno de los conjuntos de medidas nuevas que se ha de implantar o cambiar respecto al actual reglamento.

J2M
.