República Dominicana: diputados aprueban proyecto regula bancos de datos personales

800px-Flag_of_the_Dominican_Republic.svg_ (1)En República Dominicana, la Cámara de Diputados aprobó este martes de urgencia y en dos lecturas el Proyecto que establece que toda persona tiene derecho a que sus datos personales, incluidos en un banco de datos, sean rectificados, actualizados y, cuando corresponda, suprimidos.

La iniciativa crea las normas que regulan y protegen los datos personales y ley de Habeas Data. La pieza busca garantizar que no se lesione el derecho al honor y a la intimidad de las personas, facilitar el acceso a la información que sobre las mismas se registre, de conformidad a lo que establece el artículo 44 de la Constitución.

La comisión de Justicia de la Cámara Baja de este país unificó dos proyectos de los que fue apoderado; uno del senador Félix Bautista y el otro del diputado Demóstenes Martínez, que persiguen proteger los datos de los ciudadanos.

El presidente de la Cámara, Abel Martínez Durán, resaltó la importancia de la iniciativa, precisando que aprobándola se cumple con un mandato de la Carta Magna, promulgada en el 2010.

La norma busca la protección integral de los datos personales asentados en archivos, registros públicos, bancos de datos u otros medios técnicos de tratamiento de datos destinados a dar informes, sean estos públicos o privados. Leer más de esta entrada

Colombia: La protección de datos personales se volvió importante

20130816-120613.jpg

Con la implementación de la Ley de datos personales (ley 1581) y el Decreto 1377 de 2013, el cual ha llenado los buzones de correo electrónicos de políticas de privacidad y mensajes invitando para el tratamiento de datos personales, uno podría preguntarse ¿Es importante la privacidad y el manejo de datos personales en Colombia?

Todo lo que ha pasado con Snowden y la revelación de ciberespionaje, muestra un claro panorama donde la privacidad y la seguridad empiezan a ser importantes para miles de personas. Al punto que ya empresas como mega, están trabajando en ofrecer servicios de encriptación de correo electrónico, o muchos esperamos servicios como mailpile que será lanzado el 10 de septiembre.

Y mientras tanto en Colombia, se empezó con la implementación de una ley de datos personales, que obliga a todas las empresas a tener políticas de protección de datos y contar siempre con la autorización del titular para manejar la información personal.

Leer más de esta entrada

Colombia: consideran que con la ley de hábeas data podrán reducir el #correonodeseado #spam

Colp_HF151248_89aec_0Con la nueva ley del Habeas Data de Colombia, reglamentada con el Decreto 1377 de 2013, ahora quien envíe correos basura, conocidos como spam, o venda bancos de datos sin la autorización explícita del usuario, puede ser multado hasta con 2.000 SMLMV o su equivalente a $1.180 millones.

El derecho de Habeas Data, o Protección de Datos, es aquel que tiene toda persona de conocer, actualizar y rectificar la información que se haya recogido sobre ella en archivos y bases de datos de naturaleza pública o privada.
 
Aunque este derecho es de tiempo atrás, con la llegada de internet se gestó una ruptura más amplia de la esfera pública y privada de los ciudadanos, y así mismo cambió su manera de vender productos. Tanto así, que hacia 1995 el número de correos de mercadeo era mayor al total de correos ordinarios. 
 
Desde ese momento, el uso de correos electrónicos o perfiles en redes sociales como prácticas publicitarias se profesionalizó entre quienes se dedican al mercadeo. De esta manera, nace el e-mailing, el cual usa los correos electrónicos como medios de comunicación comercial para un público específico. 
 
Sin embargo, el aumento de los correos basura o Spam nubló la barrera entre el mercadeo por correo electrónico y quienes se dedicaban al envío indiscriminado de mensajes. Por esta razón, las plataformas para enviar cartas electrónicas crearon los filtros de detección de envíos vírales a los usuarios para proteger los buzones y la información.
 
Estas primeras prácticas fraudulentas en la web usaban métodos como el envío de cadenas de oración o de chistes a través de correos para captar la mayor cantidad de usuarios; y así, vender la información a empresas o personas que luego publicitaran sus productos de manera gratuita.
 

Colombia avanza en la protección de datos personales

colombiaEl pasado 27 de Junio de 2013 fue expedido por el Ministerio de Comercio, Industria y Turismo el Decreto 1377 de 2013, reglamentario de la Ley 1581 de 2012 sobre Protección de Datos Personales.

Este nuevo decreto desarrolla los postulados de la mencionada ley, trayendo como reto para las empresas la incorporación de una serie de medidas tanto administrativas como organizacionales a fin de salvaguardar los derechos de privacidad de los datos personales. Aunque falta por desarrollar todo el capítulo de inscripción de bases de datos, el cual se desarrollará en otro decreto, el panorama comienza a aclararse en materia de obligaciones para las empresas a la hora de tratar datos personales propios y de terceros.

Así mismo, el reglamento crea un procedimiento para la validación de bancos con datos recogidos antes de la vigencia del decreto y establece algunos parámetros en la adopción de políticas sobre seguridad y protección de la información asi como aspectos en transferencia y transmisión internacional de datos. Leer más de esta entrada

Siglas del “mundo” de las TICs

Security Artwork, un sitio web sobre seguridad de la información, publicó recientemente un artículo que enumera y describe algunos términos muy utilizados en lo que respecta a las tecnologías de la información y la comunicación (TICs) que desde el CPDP creemos importante compartir. En el listado se encuentran siglas que van desde el control de acceso, redes, cifrados al cumplimiento legal, por citar algunos ejemplos.

Estas siglas y otras definiciones también pueden ser consultadas en nuestra WIKI “Definiciones en las TICs”.

AD/DA (Active Directory / Directorio Activo): Sistema proporcionado por Microsoft para la gestión centralizada de recursos de red, incluyendo la gestión de políticas aplicables, gestión de usuarios y equipos, sistema de autenticación, etc.

AES (Advanced Encryption Standard): Algoritmo de cifrado simétrico con tamaño de llave de 128 a 256 bits.

ARCO (Acceso, Rectificación, Cancelación y Oposición): Derechos que los usuarios pueden ejercer sobre la gestión de sus datos personales por parte de una entidad (Responsable de Fichero). Estos derechos comprenden el acceso, la rectificación, cancelación y la oposición de los datos.

BCP/PCN (Business Continuity Plan / Plan de Continuidad de Negocio): Procedimientos documentados que especifican el proceso que debe seguir una organización para recuperar y restaurar sus funciones críticas o niveles de servicio tras un evento disruptivo.

DBMS/SGBD: (Data Base Management System / Sistema de Gestión de Base de Datos): Software que permite la gestión tanto de acceso, almacenamiento, escritura y lectura de la información dispuesta en una base de datos. Ejemplos de estos sistemas son Oracle e Informix.

CERT (Computer Emergency Response Team): Equipo de personas dedicado a la gestión de la seguridad de la información y a la repuesta ante incidentes y ataques. También conocido como CSIRT (Computer Security and Incident Response Team).

CMDB (Configuration Management Data Base): Concepto del marco ITIL, que hace referencia a una base de datos que recoge los distintos activos dentro de los sistemas de información y la relación existente entre ellos.

CPD (Centro de Proceso de Datos): Emplazamiento, sala o estancia donde se albergan los servidores de una organización.

DLP (Data Loss Prevention): Solución diseñada para detectar potenciales fugas o filtración de información y prevenirlas mediante monitorización, detección y bloqueo de información sensible mientras está en uso (acciones del usuario), en transmisión (tráfico de red) y en almacenamiento. Incluyendo el uso de entornos email, web, equipos de usuario, smartphones, etc. Existen soluciones de diversas marcas como Symantec, McAfee o Cisco.

DoS (Denial of Service): Ataque que pretende impedir a los usuarios hacer uso de determinados servicios de red, ya sea por consumo de recursos, alteración de información de configuración o de estado, etc. Los ataques emplean los protocolos TCP/IP y generalmente son ataques de inundación.

DMZ (Demilitarized Zone): Segmento de red ubicado entre la red interna de una entidad y el acceso a internet. El acceso desde esta red a la red interna está bloqueado. En esta red se ubican servidores que gestionan servicios accesibles externamente como FTP, Email, etc.

DRP (Disaster Recovery Plan): Estrategia que define una organización para restaurar los servicios TI.

HA (High Availability): Término que hace referencia al diseño de sistemas (generalmente mediante la redundancia de componentes), garantizando la disponibilidad de los servicios que soportan estos sistemas a pesar de haber potenciales fallos o averías de los componentes de dicho sistema.

HVAC (Heating, Ventilation and Air Conditioning): Hace referencia a sistemas de climatización.

IDS (Intrusion Detection System): Sistema software o hardware que mediante la monitorización del tráfico de una red permite la detección de ataques conocidos, así como de comportamientos o patrones sospechosos (escaneos de puertos, ataques de denegación de servicio, etc).

IPS (Intrusion Prevention System): Sistema software o hardware que además de la funciones que proporciona un IDS, incluye el bloqueo o detención de ataques conocidos, así como comportamientos o patrones sospechosos.

IPSEC (Internet Protocol Security): Extensiones del protocolo IP empleado para comunicaciones, proporciona autenticación y cifrado. Se implementa a nivel de capa 3 (OSI) y generalmente se emplea para la creación de túneles cifrados (VPN).

LDAP (Lightweight Directory Access Protocol): Protocolo de acceso unificado que permite el acceso a un servicio de directorio ordenado y distribuido en un entorno de red.

NAC (Network Access Control): Solución que emplea un conjunto de protocolos para permitir acceso únicamente a nodos de una red (equipos de usuarios) que cumplan determinadas políticas de seguridad, como puede ser: existencia de antivirus, actualizaciones o configuraciones del sistema operativo.

NAP (Network Access Protection): Adaptación de la solución NAC propuesta por Microsoft.

NAS (Network Attached Storage): Hace referencia a soluciones de almacenamiento compartido a través de red (normalmente TCP/IP), haciendo uso de un Sistema Operativo optimizado para dar acceso a protocolos como CIFS, NFS o FTP. Por norma general son dispositivos de almacenamiento específicos, no obstante un servidor configurado para compartir archivos por red podría ser considerado un NAS.

NBD (Next Bussines Day): Generalmente se utilizan para indicar que el tiempo de atención para el soporte, mantenimiento o cualquier otra garantía será atendida o resuelta en el siguiente día laborable.

NOC (Network Operation Center): Instalaciones desde las que se controlan y monitorizan redes de comunicaciones.

NTP (Network Time Protocol): Protocolo de sincronización de relojes para sistemas. Se suele referenciar al control 10.10.6 Sincronización de relojes de la ISO 27002.

OLA (Operation Level Agreement): Acuerdo interno de una organización donde se establecen los niveles de servicio entre distintos departamentos de la misma organización.

PCI-DSS (Payment Card Industry Data Security Standard): Normativa de seguridad de la información definida por el PCI Security Standards Council, aplicable a todas las entidades que participan en procesos de pago con tarjeta y el cual recoge los requerimientos técnicos y operativos desarrollados para proteger los datos de los usuarios. Su adopción es obligatoria desde junio de 2007 y las marcas pueden imponer sanciones a las entidades que no realicen las auditorías prescritas.

RF (Resistente al Fuego): Criterio que evalúa la capacidad de un cerramiento de contener un incendio, se mide en minutos, por ejemplo RF90. Este criterio ha sido sustituido por tres criterios: R (Resistencia), E (Integridad) e I (Aislamiento).

RPO (Recovery Point Objective): En continuidad de negocio, hace referencia al periodo de tiempo máximo de pérdida de datos tras un incidente. Este valor viene marcado por la política de copias de respaldo o sincronización de sistemas.

RSA (Iniciales de Rives, Shamir y Adleman): Algoritmo de cifrado basado en clave pública. El tamaño mínimo de clave se considera 1024 bits lo cual equivale a 80 bits en cifrado simétrico. No obstante se aconseja emplear claves de 2048 bits como mínimo.

RTO (Recovery Time Objective): En continuidad de negocio, hace referencia al periodo de tiempo requerido para restaurar servicios o actividades tras un evento disruptivo.

SAN (Storage Area Network): Es una red dedicada al almacenamiento que proporciona acceso a nivel de bloque. La principal diferencia con la NAS es que por norma general se emplea fibra para conectar los servidores a la SAN y los NAS van por red local, por otra parte para hacer uso de la SAN los equipos con acceso deben disponer de un interfaz de red específica para la SAN. Generalmente la SAN es empleada cuando se requieren un alto nivel de rendimiento y el coste de la infraestructura es mucho mayor que la de un NAS.

SLA/ANS (Service Level Agreement/Acuerdo de Nivel de Servicio): Contrato escrito entre un proveedor de servicio y su cliente con objeto de fijar el nivel acordado para garantizar la calidad de dicho servicio.

SFTP (Secure File Transfer Protocol): Protocolo del nivel de aplicación que proporciona la funcionalidad necesaria para la transferencia y manipulación de archivos sobre un flujo fiable de datos. Utiliza por norma general SSH para proporcionar la capa de seguridad.

SNMP (Simple Network Management Protocol): Protocolo de nivel de aplicación para el intercambio de información de administración entre dispositivos de red. Permite a administradores la supervisión del funcionamiento de la red. Cuenta con tres componentes claves: dispositivo administrado, agentes y sistemas administradores de red.

SSL (Secure Socket Layer): Protocolo de seguridad en las comunicaciones mediante el uso de cifrado. Este proporciona autenticación y confidencialidad de la información. Generalmente el servidor es el que se autentica. Implica el uso de cifrado de clave pública y posteriormente cifrado del tráfico mediante protocolos de cifrado simétrico.

SSO (Single Sign On): Procedimiento de autenticación que habilita al usuario para acceder a varios sistemas con una sola instancia de identificación.

TLS (Transport Layer Security): Protocolo que supone la evolución de SSL.

UPS/SAI (Uninterruptable Power Supply/Sistema de Alimentación Ininterrumpido): Dispositivo que proporciona energía eléctrica por un tiempo limitado ante fallos en el suministro eléctrico. Se emplea para limitar los riesgos asociados a caídas repentinas de suministro que puedan afectar a los sistemas de información críticos.

WSUS (Windows Server Update Server): Servicio para proporcionar las actualizaciones de seguridad para los sistemas operativos de Microsoft, permitiendo que las actualizaciones de los distintos equipos se descarguen de modo centralizado.

XSS (Cross Site Scripting): Ataque asociado a aplicaciones web, que consiste en inyectar en páginas web vistas por el usuario código en lenguaje script, evitando medidas de control. Este tipo de ataque permite secuestrar sesiones de usuarios, entre otros.

*Para la definición de algunos de los términos anteriormente descrito se ha empleado como principal fuentewikipedia.org

Fuente: Security ArtWork – Enlace

 

EEUU: estudio sobre el lugar que ocupa la #privacidad en los jóvenes

El debate sobre los programas de vigilancia del gobierno norteamericano ha dado por sobrentendido que a los jóvenes no les importa la privacidad. Pero resulta que la generación para la cual lo “social” se reduce en gran medida a las redes sociales es mucho más compleja a la hora de determinar qué información quiere compartir.

Por supuesto que están tan dispuestos como siempre a publicar sus propias fotos en Internet, así como su ubicación y su número de teléfono, según afirman quienes estudian sus hábitos tecnológicos. Pero a medida que se acercan a la adultez, se vuelven más celosos de sus secretos y proceden a podar los detalles de su vida online .

Sorprendentemente, y a pesar de su tendencia a “compartir”, muchos jóvenes adultos son también grandes defensores de la privacidad, en algunos casos, más que sus mayores. Esa postura quedó demostrada recientemente por una encuesta realizada durante el fin de semana por el centro Pew.

La encuesta, relativa a las revelaciones sobre los extensivos programas de vigilancia del gobierno norteamericano, reveló que la opinión de los jóvenes adultos está mucho más dividida que la de sus mayores cuando se les pregunta si el gobierno debería pasar por encima de la privacidad de los ciudadanos para desbaratar el terrorismo. Leer más de esta entrada

Encuentro entre el CPDP y la Defensoría del Pueblo de Córdoba

Con el oblogo defensori del pueblo cordibajetivo de coordinar acciones sobre la temática del grooming, este 29 de mayo, miembros del Centro de Protección de Datos de la Defensoría del Pueblo de la Ciudad Autónoma de Buenos Aires se reunieron con representantes de la Defensoría del Pueblo de la Provincia de Córdoba.

Durante el encuentro se intercambiaron experiencias sobre las acciones llevadas a cabo por cada organismo en torno al uso seguro de las nuevas tecnologías de la información y la comunicación (TICs). Cabe mencionar que el CPDP viene trabajando diversos aspectos vinculados a la protección de los datos personales, la privacidad y la intimidad en Internet. Por su parte, la Defensoría de Córdoba cuenta con el Programa de Navegación Segura en Internet. En esta línea, en busca de aunar esfuerzos en estos temas tan actuales y en constante desarrollo, se establecieron líneas de trabajo en conjunto.

Estuvieron presentes en la reunión: Maria Julia Giogelli, Agustina Callegari, Javier Raimo del CPDP y, Lucía Da Silva Santos y Patricio Chavero, por la Defensoría de Córdoba.

México: capacitan en protección de datos a miembros de la justicia

A partir del pasado lunes 20 de mayo, todos los jueces, magistrados y servidores públicos del Tribunal Superior de Justicia del Distrito Federal (TSJDF), están capacitados para aplicar la ley de información pública y protección de datos personales.

Personal del Instituto de Acceso a la Información Pública y Protección de Datos del Distrito Federal instruyó durante tres meses a los servidores públicos del poder judicial capitalino con la finalidad de que puedan facilitar a los ciudadanos información pública no reservada y eviten publicar sus datos personales sin su consentimiento.

Durante la ceremonia en que recibió el certificado de capacitación, el presidente del Tribunal Superior de Justicia del Distrito Federal indicó que la transparencia es condición necesaria para la democracia.

“La transparencia se impone no sólo como una nueva obligación que tienen los entes públicos. Es un cambio de paradigma, un nuevo esquema y forma de construir y dirigir a las instituciones y hacer política. Es decir, es un nuevo verbo en la actuación de gobierno”, señaló Edgar Elías Azar, presidente del TSJDF. Leer más de esta entrada

La justicia argentina aceptó un reclamo de habeas data por imágenes

archivos_expedientesNota de Diario Judicial. En los autos “V., S. H recurso de Habeas Data”, el actor de la causa tenía un reclamo particular: no quería que aparezcan sus imágenes en los archivos del Sistema de Investigaciones Criminalísticas (SIC) utilizados por el Ministerio Público Fiscal para investigar “hechos delictivos”.

Las imágenes fueron subidas al sistema cuando su “ahijado procesal” sufrió un accidente de tránsito que le valió un procesamiento por lesiones culposas, caso por el que, en enero de 2006, sería sobreseído.

El actor relató que cuando fue a la fiscalía  a hacer su descargo en torno a ese hecho, le sacaron las fotos. Más tarde, en noviembre de 2006, su hermano sufrió un robo, y cuando le solicitaron que vaya para cumplir con los pasos normales de la denuncia y las actuaciones judiciales, le mostraron sus imágenes en el álbum del cual el actor pretendía ser eliminado.

Su pretensión se basó en que las imágenes que figuraban de él le provocaban una “profunda vergüenza”, y le generaban un temor constante de ser “sindicado como posible partícipe de un hecho delictivo” de forma errónea, al encontrarse en un registro donde cohabitan fotos de “posibles autores de delitos”.

La representante del Ministerio Público alegó, en su defensa, que en el se encontraba “ante el registro legítimo de un dato verdadero, en un archivo en el que el tratamiento de la información no es de carácter público, sino que era solo aprovechable en la investigación criminal, como en el caso de autos- no resulta su información ser discriminatoria, ni lesiona la intimidad, ya que no se produce una injerencia desmesurada en la privacidad del afectado, ponderada con relación a la finalidad de la conservación de los registros dada la necesidad social de su relevamiento”.

Luego de un fallo de la Cámara Penal donde se determinó que la imagen debía ser quitada, y luego de un paso por la Suprema Corte bonaerense, en donde se estableció que el caso fuera resuelto en la Cámara de Apelaciones en lo Contencioso Administrativo de San Nicolás, la Justicia terminó por fallar a favor del actor.

Leer más de esta entrada

Crean un sistema para recorrer Buenos Aires desde la computadora

S3.jpg_1508290737Todos los días una camioneta cargada con una cámara panorámica y un GPS recorre las calles para retratar las fachadas de cada edificio, casa y local de la Ciudad. No se trata de uno de los coches de Google Street View, una iniciativa que trajo fuertes debates alrededor del mundo acerca del derecho a la intimidad, sino de un proyecto de la Secretaría de Planeamiento porteña para registrar en video a 360 grados todas las calles de Buenos Aires, que planea competir con la del gigante informático.

El vehículo, que costó $ 450 mil, comenzó a trabajar a mediados del año pasado y ya visitó todos los barrios al sur de la avenida Rivadavia, y se espera que en junio termine de filmar las más de 12 mil manzanas de la ciudad.

Si bien el objetivo es utilizar la información para tomar decisiones de planeamiento urbano, la idea es subir los videos también al mapa interactivo de Buenos Aires (mapa.buenosaires.gob.ar), para que los usuarios puedan clickear en cualquier punto y recorrer el lugar como si estuvieran ahí. Un servicio similar al que ya ofrece Google en otras capitales y sitios de interés. Tanto, que algunos funcionarios sugirieron venderle las imágenes a la empresa, que todavía no lo trajo al país.

La novedad se sumaría a las imágenes aéreas que ya están cargadas en el sistema y que, a diferencia de las de Google Maps, no son satelitales sino que fueron tomadas desde un avión, para lograr una mayor resolución. La última toma fue hecha en 2009 por la empresa Cartodata, con un costo de $ 750 mil, pero se espera hacer una nueva este año para poder registrar las últimas modificaciones en construcciones y espacio público. Leer más de esta entrada