nov. 2018

Regulación para la protección de datos de la UE (GDPR de la UE)

Un pequeño elemento para el GDPR, pero uno importante: Manténgase en cumplimiento con el USB cifrado de Kingston

Gestione amenazas y maneje riesgos

Las opciones disponibles cubren cada necesidad desde personal, a corporativa, a gubernamental.

Almacenamiento de datos en USB encriptados que cumple 100%
Simple, fácil de usar, no se necesita software o drivers
Diseñado para un despliegue rápido y eficiente

GDPR de la UE: Las 5 áreas principales para tener en cuenta

Cifrado - Seguridad de los estándares del procesamiento de datos (Artículo 32, Seguridad del procesamiento)
Designar oficiales de protección de datos (OPDs)
Establezca un programa de cíber-seguridad
Responsabilidad documentada
Entienda consentimiento

¿Hay alguna penalidad por el no cumplimiento?

Are there any penalties for non-compliance?

En virtud de las GDPR, las organizaciones que no cumplan con las GDPR, pueden ser multadas por hasta el 4% de la facturación global anual o aproximadamente $21,952 millones de USD (20 millones de € - la que sea mayor).
La empresa puede ser multada un 2% por no tener sus registros en orden (artículo 28), sin notificar a la autoridad supervisora y al interesado acerca de una violación, o no llevar a cabo una evaluación de impacto.
Es importante señalar que estas reglas se aplican tanto a los controladores como a los procesadores - lo que quiere decir que las "nubes" no estarán exentas de la aplicación de las GDPR.

¿Qué necesito saber?

¿Cómo afecta esto a mi negocio?

Toda empresa que trabaje con información relacionada con ciudadanos de la UE deberá cumplirlas
Es importante señalar que estas reglas se aplican tanto a los controladores como a los procesadores - lo que quiere decir que las "nubes" no estarán exentas de la aplicación de las GDPR
Se aplica a todas las organizaciones ─ UE o no UE ─ que procesan datos de ciudadanos de la UE
Requiere que las organizaciones que procesen o mantengan información identificable personal implementen medidas de seguridad adecuadas para proteger contra la pérdida de datos personales.

¿Qué debe hacer mi negocio para cumplir?

Auto-evalúese - Se necesita un oficial de protección de datos para empresas que empleen 250 o más personas. Las organizaciones necesitan realizar una revisión interna del manejo de la información de identificación personal por parte de sus empleados y clientes
Identifique, registre y organice todos los productos internos y externos que almacenan datos. - Registre y exija que el equipo usado por la empresa sea cubierto por su política de seguridad de datos, y asegúrese de que se utilice encriptación de datos. Artículos tales como, pero no limitados a: servidores, discos duros, SSDs, dispositivos Flash USB, computadores y otros dispositivos móviles
Análisis de inventario - Evaluar la cantidad de datos personales en su totalidad
Purgar - Eliminar archivos de información identificable personal (PII) innecesarios)
Controladores de información - Verifique los riesgos a la privacidad y las evaluaciones de impacto
Contratos - Proteja a futuro su negocio al establecer en este momento políticas que se convertirán en obligatorias después de la fecha efectiva de Mayo de 2018
Violación de datos - Regulation requires notice within 72 hours

Solución - Implemente las salva guardas, los estándares técnicos y políticas apropiadas, tales cómo: encriptación de datos para datos personales / información identificable personal (PII), para mitigar el riesgo de no cumplimiento (Más información – Mejores prácticas en estándares USB encriptados )

Encriptación de datos

Un dispositivo USB encriptado Kingston e Ironkey es una de las soluciones para estandarizar el cumplimiento del encriptado de datos
Implementar "medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluido ... el cifrado de datos personales" (Artículo 32, Seguridad del procesamiento)
La propuesta exige que las organizaciones encripten datos confidenciales tanto en tránsito como en reposo.
Requiere que las organizaciones que procesen o mantengan información identificable personal de ciudadanos de la UE implementen medidas de seguridad adecuadas para proteger contra la pérdida de datos personales.
Se requerirá que las organizaciones incluyan estos estándares mejorados de procesamiento de datos en sus contratos con proveedores de servicios de terceros.

Aumento del alcance territorial (aplicabilidad extraterritorial)

Posiblemente el mayor cambio en el ámbito regulatorio de la privacidad de los datos.

La jurisdicción ampliada de las GDPR se aplica a todas las empresas que procesan los datos personales de los interesados que residen en la Unión, independientemente de la ubicación de la empresa.

Notificación de violaciones

Las notificaciones de violación de datos hacerse dentro de las 72 horas siguientes de saber de la violación, cuando sea posible, aunque la notificación no necesita ser hecha a la DPA si es poco posible que resulte en un riesgo para los derechos o las libertades de individuos.

Nuevos derechos del consumidor

Beneficios para el consumidor

Consumer Benefits

Más protección bajo las GDPR y la habilidad de mantenerse anónimo
Da poder al consumidor al mejorar sus derechos si este no desea compartir datos
Nuevos y mejores derechos para el consumidor - ‘derecho de ser olvidado" - ‘un derecho de portabilidad de datos" exigiendo que las empresas finalicen con el uso de sus datos
Las empresas que no cumplen con estos derechos de los consumidores están sujetas a más demandas por parte de consumidores y personas jurídicas

Consentimiento

Las condiciones para el consentimiento se han reforzado, y las empresas ya no podrán utilizar términos ilegibles ni condiciones llenas de legalidades, ya que la solicitud de consentimiento debe darse en forma inteligible y fácilmente accesible, a propósito del procesamiento de datos que conlleva este consentimiento.

El consentimiento debe ser claro y distinguible de otros asuntos y proporcionado en una forma inteligible y fácilmente accesible, usando un lenguaje claro y sencillo. Debe ser tan fácil retirar el consentimiento como darlo.

El derecho a ser olvidado

También conocido como Borrado de Datos, el derecho a ser olvidado da derecho al interesado a que el controlador de datos borre sus datos personales, deje de difundir los datos y posiblemente evitar que terceros continúen el procesamiento de los datos. Las condiciones para el borrado, tal como se describen en el artículo 17, incluyen los datos que ya no son pertinentes a los fines originales de procesamiento, o a los interesados que retiran el consentimiento.

Cabe resaltar también, que este derecho exige que los controladores comparen los derechos de los interesados con "el interés público en la disponibilidad de los datos" al considerar tales solicitudes.

¿Cuál es la información identificable personal (PII)?

La información identificable personal (PII) se refiere los datos que se tengan de ciudadanos de la UE que, si se revelan, podrían resultar en daños para aquellos cuya información ha sido comprometida. La PII puede incluir registros médicos, datos biométricos, números de pasaporte e información financiera identificable personal (PIFI), tales como seguridad social y detalles de la tarjeta de crédito. La información que podría no ser considerada PII, como su nombre y apellido, puede convertirse en PII si está vinculada a otros datos.

Los activos de datos de una organización deben identificarse como parte de una evaluación de riesgos, incluyendo cómo se almacenan y se accede a los datos, a qué nivel de riesgo están expuestos, y si contienen PII. Los activos de datos pueden almacenarse en bases de datos de aplicaciones, en sistemas de archivos del servidor y en dispositivos de usuario final.

What is Personal Identifiable Information (PII)?

Segmentos destacados

Un único conjunto de normas a nivel de la UE — se estima que una sola ley de protección de datos en toda la UE ahorrará 2.3 mil millones de € al año
Un funcionario de protección de datos, responsable de la protección de datos, será designado por las autoridades públicas y las empresas que procesan datos a gran escala
Ventanilla única – las empresas solo tienen que tratar con una sola autoridad de supervisión (en el país de la UE en el que se encuentren principalmente)
Reglas de la UE para empresas que no están en la UE – las empresas con sede fuera de la UE deben aplicar las mismas reglas al ofrecer servicios o bienes, o controlar el comportamiento de las personas dentro de la UE
Reglas favorables a la innovación – una garantía de que las salva guardas de protección de datos están incorporadas en productos y servicios desde la etapa más temprana de desarrollo (protección de datos por diseño y por defecto)
Técnicas amigables con la privacidad tales como seudonimización (cuando los campos de identificación dentro de un registro de datos son reemplazados por uno o más identificadores artificiales) y encriptación (cuando los datos están codificados de tal manera que solo las partes autorizadas pueden leerlos)
Evaluaciones de impacto – las empresas deberán realizar evaluaciones de impacto cuando el procesamiento de datos pueda generar un alto riesgo para los derechos y libertades de las personas
Registro de archivos – las PyMES no están obligadas a llevar registros de las actividades de procesamiento, a menos que el procesamiento sea regular o pueda dar lugar a un riesgo para los derechos y libertades de la persona cuyos datos están siendo procesados.

Más

Fechas claves bajo la regulación para la protección de datos (GDPR)

31 de enero, 2018 PCI-DSS v3.2 – Requisito de autenticación por múltiples factores(8.3.1) - Afecta a organizaciones globales
30 de junio, 2018 PCI-DSS v3.2 – Requisitos para actualizar el encriptado SSL (2.2.3, 2.3, 4.1) - Afecta a organizaciones globales
Abril 2018 PSD2 – Directiva de servicios de pago 2 - Afecta a las empresas europeas
Mayo 2018 GDPR – Regulación para la protección de datos - Afecta a organizaciones globales

Más información

Aprenda más acerca, Encrypted USB Drive - Kingston Technology

Kingston IronKey D500S Dispositivo Flash USB encriptado por hardware
Seguridad FIPS 140-3 de nivel 3 (pendiente) de grado militar

Encriptado por hardware XTS-AES de 256 bits

Disponible en modelo administrado

USB 3.2 Gen 1

8 GB, 16 GB, 32 GB, 64 GB, 128 GB, 256 GB, 512 GB

Hasta 310 MB/s de lectura, 250 MB/s de escritura
Más información Comprar
Kingston IronKey Vault Privacy 50 Serie
Seguridad de nivel empresarial

Cifrado XTS-AES de 256 bits

Disponible en USB Type-A y Type-C

USB 3.2 Gen 1

8GB, 16GB, 32GB, 64GB, 128GB, 256GB

Hasta 250MB/s de lectura, 180MB/s de escritura
Más información Comprar
Dispositivo Flash USB encriptado DT4000G2
Encriptado XTS-AES de 256 bits

USB 3.1 Gen 1 (USB 3.0)

8GB, 16GB, 32GB, 64GB, 128GB

Hasta 250MB/seg (lectura), 85MB/seg (escritura)
Más información Comprar
Dispositivo Flash USB encriptado Kingston IronKey S1000
Criptochip integrado

USB 3.1 Gen 1 (USB 3.0)

4GB, 8GB, 16GB, 32GB, 64GB, 128GB

Hasta 230MB/seg (lectura), 240MB/seg (escritura)

Seguridad de contraseña compleja o frase de contraseña
Más información Comprar
Dispositivo Flash USB encriptado Kingston IronKey D300S
Nivel avanzado de seguridad

Disponible en modelo administrado

4GB, 8GB, 16GB, 32GB, 64GB, 128GB

Velocidades USB 3.1 Gen 1
Más información Comprar
Series Kingston IronKey Keypad 200
Seguridad FIPS 140-3 de nivel 3 (pendiente) de grado militar

Encriptado por hardware XTS-AES de 256 bits

Disponible en USB Tipo A y Tipo C

Independiente del dispositivo/SO

8GB, 16GB, 32GB, 64GB, 128GB, 256GB, 512GB

Hasta 280MB/s de lectura, 200MB/s de escritura
Más información Comprar