it security cloud gdpr 14. agosto 2018

RGPD y encriptación: protección de datos en la nube

El 25 de mayo de 2018 trajo consigo grandes cambios para las empresas de todo el mundo, con respecto al tratamiento y almacenamiento de datos personales de los ciudadanos de la UE. Con la entrada en vigor del nuevo Reglamento General Europeo de Protección de Datos (RGPD) se aplica un nuevo y estricto conjunto de normas a todas las empresas que utilizan o almacenan datos personales de ciudadanos de la UE en cualquier forma. Estas normas se refieren a la protección de los datos personales.

En este artículo invitado, nos gustaría proporcionarle una visión general sobre algunos de los cambios resultantes del RGPD y presentarle una solución para el procesamiento y almacenamiento seguro de datos personales: encriptación de extremo a extremo de los datos con Boxcryptor.

¿Qué cambios y ajustes son necesarios?

Toda empresa, independientemente de su tamaño o de la ubicación de su sede central, tiene que hacer ajustes en las cuatro áreas siguientes, siempre que los datos que utiliza se refieran a un ciudadano de la Unión Europea:

  1. Almacenamiento y tratamiento seguro de datos personales
  2. Conformidad de los procesos internos con la normativa de protección de datos
  3. Conformidad RGPD de terceros proveedores
  4. Análisis y documentación de la estructura de datos de la empresa
  5. Este artículo trata, en particular, de las modificaciones y adaptaciones necesarias en relación con el primer ámbito mencionado (es decir, el almacenamiento y tratamiento seguros de los datos personales).

Cómo el cifrado permite el almacenamiento de datos personales conforme al RGPD

El almacenamiento y procesamiento de datos personales está sujeto a estrictas estipulaciones, ya que se ha alcanzado la fecha de vencimiento del RGPD y la normativa ha entrado en vigor. Las empresas se enfrentan ahora a la necesidad de implementar las “medidas técnicas y organizativas” (TOM) necesarias para la protección de los datos y, además, documentar todas esas medidas a fondo.

La encriptación (de datos) de última generación se considera un TOM de este tipo a los ojos del RGPD. Por lo tanto, teniendo en cuenta la absoluta necesidad de emprender un TOM, es una medida que los responsables de la protección de datos deberían considerar detenidamente.

Pero hay otra razón para que las empresas utilicen el cifrado para la protección de datos, y es enorme: Si una empresa con un cifrado de última generación sufre una pérdida de datos o un accidente, no está obligada a informar a los usuarios afectados por la pérdida de datos sobre el incidente. Esto se debe a que los datos cifrados siguen siendo inoperantes para terceros no autorizados, debido a la encriptación segura de extremo a extremo que garantiza que los datos permanezcan ilegibles para un posible atacante.

Por lo tanto, cuando una empresa puede garantizar que nadie sin autorización pueda acceder a los datos personales almacenados – incluso si una persona no autorizada está en posesión física de los datos – se toman las medidas adecuadas para la protección de los datos y, por lo tanto, se puede evitar el pago de multas drásticas.

No olvide: En caso de violación del RGPD, las empresas se enfrentan al pago de penalizaciones: Dependiendo de la naturaleza de la infracción, estos pagos oscilan entre 10 y 20 millones de euros – o al menos entre el 2 y el 4% del volumen de negocios anual mundial -, la cantidad que sea mayor.
Otra ventaja crucial que resulta del uso correcto de un cifrado fuerte: Dado que una empresa que disponga de los conocimientos técnicos adecuados no está obligada a informar a la persona afectada por la pérdida de los datos respectivos, no hay ningún efecto negativo sobre la confianza de esta persona en la empresa.

ATENCIÓN: La nulidad de la obligación de informar a una persona de la pérdida de sus datos personales en caso de encriptación está sujeta a las leyes locales de protección de datos, que pretenden situar la normativa de la UE en un marco jurídicamente vinculante (por ejemplo, la Ley Federal Alemana de Protección de Datos). Por lo tanto, esta anulación no es universalmente aplicable, pero dependiendo del Estado miembro de la UE en el que se produjo el incidente de los datos.

No importa si usted está obligado a informar a una persona de sus datos personales que son robados o si la obligación es nula: Recomendamos encarecidamente que informe a sus clientes o socios de este tipo de incidentes, a la vez que les asegure que la información está segura, debido al fuerte cifrado que se está utilizando. Esta es probablemente la mejor alternativa para evitar perder la confianza que para mantener la pérdida de datos en secreto.

Software de encriptación Boxcryptor para equipos – una visión general

Un aspecto importante para que una empresa cumpla con los requisitos de RGPD con respecto al almacenamiento y procesamiento de datos personales es que exista un TOM apropiado y adecuado para la protección de estos datos. La encriptación de última generación está listada como TOM.

Boxcryptor está haciendo uso de una encriptación híbrida y por lo tanto ha implementado una combinación de los estándares de encriptación AES-256 y RSA. AES es un algoritmo de cifrado de estándar militar y es utilizado por instituciones financieras, gobiernos y servicios de inteligencia de todo el mundo. Descifrar una clave AES con una longitud de 128 bits (AES-128) con un superordenador de hoy en día requeriría más tiempo que la edad estimada del universo. Duplicar la longitud de la clave (AES-256) da como resultado un tiempo exponencial para descifrar la clave. El segundo algoritmo de cifrado, RSA, es uno de los sistemas de cifrado asimétrico más utilizados hasta la fecha y se basa en el problema matemático de dividir grandes números en factores primos.

Boxcryptor implementa un proceso de cifrado combinado de los dos estándares. Cada archivo obtiene su propia clave de cifrado generada aleatoriamente, que se genera cuando se crea el archivo. La encriptación híbrida de AES y RSA se utiliza por razones de eficiencia y representa un prerrequisito para una verdadera encriptación de extremo a extremo.

Hay dos modelos de licencia atractivos disponibles para las organizaciones: Boxcryptor Company es la licencia preferida de las pequeñas y medianas empresas, mientras que Boxcryptor Enterprise se adapta a las necesidades de las organizaciones con un gran número de usuarios.
Todas las licencias “para equipos” permiten el almacenamiento seguro y la compartición de datos de negocio, a la vez que protegen los datos lo suficiente para cumplir con los requisitos de RGPD.

Todas las soluciones Boxcryptor para el uso comercial pueden integrarse perfectamente en los procesos y flujos de trabajo existentes. Con el apoyo de características como Single-Sign-On y Azure Active Directory, una capa adicional de seguridad se coloca fácilmente en la parte superior de los procesos de negocio y de gestión de usuarios existentes. Mediante la aplicación de Boxcryptor dentro de su organización se cumplen los requisitos cruciales de la Normativa Europea de Protección de Datos. Además, Boxcryptor protege sus datos más valiosos contra el acceso no autorizado (hilos internos potenciales) y ataques externos por parte de hackers. Para obtener más información sobre la solución de cifrado Boxcryptor, visite nuestro sitio web.

Este artículo se centra en el tema del procesamiento y almacenamiento seguro de datos personales en relación con el RGPD. Sin embargo, dado que los aspectos “Análisis y documentación de la estructura de datos de la empresa”, “Conformidad con RGPD de terceros proveedores” y “Conformidad de los procesos internos con las normas de protección de datos” tienen una importancia igualmente alta.

24. septiembre 2018
Mitos del RGPD: Consentimiento – Distinguir verdadero de lo falso
Leer más
19. septiembre 2018
Privacidad por diseño: 6 puntos fundamentales
Leer más

Contacto

Háganos saber su opinión. Estamos aquí para responderle.

+34 911 98 45 20
[email protected]

Verónica Molina
Country Manager España

Servicio de Atención al Cliente:
Lun – Vie 9:00 h – 18:00 h

Naturalmente, sus datos serán tratados de forma confidencial. La transmisión de datos está encriptada. Encontrará más información en nuestra declaración de protección de datos (EN).