Cumplimiento de la Ley de protección de datos de México (Ley Federal de Protección de Datos Personales en Posesión de los Particulares)

Resumen de la regulación

La Ley de protección de datos de México (Ley Federal de Protección de Datos Personales en Posesión de los Particulares) entró en vigor el 6 de julio de 2010.

Objetivo

Un artículo en El Economista el 26 de enero de 2017 señala que "el objetivo de la ley general para la protección de datos personales es establecer los principios y procedimientos básicos para garantizar que todo el mundo tenga derecho a proteger su información personal que esté en manos de otras partes".

Areli Cano Guadiana, Comisionada del Instituto de Transparencia, Acceso a la Información y Protección de los Datos Personales, indicó en El Financiero que, “la aprobación de la ley general para la protección de datos personales por la legislatura mexicana, representa un avance importante para el derecho de las personas de controlar la manipulación de su información personal”.

Detalles

El experto en seguridad y privacidad de datos Francoise Gilbert escribe:

La ley aplica para los datos personales que se procesan, se transfieren o establecen por medio de entidades o personas privadas. Los “datos personales” incluyen cualquier información que corresponda a una persona natural identificada o identificable.

....

Los controladores de datos han dispuesto salvaguardas adecuadas a nivel administrativo, técnico y físico a fin de garantizar que los datos personales estén protegidos de pérdidas, daños, alteraciones, destrucción y acceso o uso no autorizado.

Sanciones

Con arreglo a la resolución promulgada por el consejo honorario representante de la Comisión nacional de salarios mínimos, infracciones y sanciones que dicta el Capítulo X de la Ley General para la Protección datos personales, se establece un salario mínimo de entre 100 y 320,000 días dentro del Distrito Federal, lo que puede ascender a entre 6,500 a 20,700,000 de pesos mexicanos.

Resumen de cumplimiento

Cumplir con la Ley de protección de datos de México (Ley Federal de Protección de Datos Personales en Posesión de los Particulares), así como evitar multas y notificaciones de brechas requiere de las mejores prácticas para la seguridad de datos que sean de vanguardia.

Las propuestas fundamentales de Thales en esta área incluyen:

• Control de acceso para garantizar que solamente usuarios con credenciales puedan recuperar datos
• Protección centrada en los datos que garantiza que, en caso de que estos datos sean robados, sea algo insignificante y por lo tanto, ique no puedan usar los cibercriminales
• Registros de inteligencia de seguridad para identificar patrones de acceso no autorizado y brechas en progreso

Control de acceso

CipherTrust Data Security Platform ofrece control de acceso a usuarios con lo último en tecnología.

• Separación de usuarios con privilegios y datos confidenciales de los usuarios. Con CipherTrust Data Security Platform, los administradores pueden crear una separación fuerte de tareas entre administradores con privilegios y propietarios de datos.  CipherTrust Transparent Encryption cifra archivos al mismo tiempo que deja sus metadatos sin cifrar. De esta forma, los administradores de TI, que incluyen hipervisor, administradores de red, nube y almacenamiento pueden llevar a cabo tareas de administración de sistemas sin tener que obtener acceso privilegiado a los datos confidenciales que residen en los sistemas que manejan.
• Separación de tareas administrativas. Se puede aplicar una separación robusta de políticas de tareas para garantizar que un administrador no tenga control completo de los datos sobre actividades de seguridad, claves de cifrado o administración. Además,  CipherTrust Data Security Manager es compatible con la autenticación de dos factores para acceso administrativo.
• Controles de acceso granular privilegiados. La solución de Thales puede aplicar políticas de gestión de acceso muy granulares para usuarios menos privilegiados que impidan un mal uso en la protección de datos de parte de usuarios con privilegios y ataques de APT. Las políticas de gestión de acceso de usuarios con privilegios se pueden aplicar por usuario, proceso, tipo de archivo, hora y otros parámetros. Las opciones de aplicación pueden controlar no solo el permiso para acceder a datos en formato de texto común; pero además, cuáles comandos del sistema están disponibles para un usuario.

Protección centrada en los datos

Thales protege los datos en sí por medio de CipherTrust Transparent Encryption con gestión de claves integrada para los datos en reposo, cifrado de aplicaciones, tokenización con enmascaramiento dinámico y más. Estas técnicas hacen que los datos se vuelvan insignificantes e inservibles sin las herramientas para descifrarlos.

Registros de inteligencia de seguridad;

Thales deja que la empresa monitoree e identifique accesos a datos fuera de lo común. Los registros de Inteligencia de la seguridad de CipherTrust son registros de gestión detallados que especifican cuáles procesos y usuarios han accedido a datos protegidos. Estos especifican cuándo los usuarios y procesos accedieron a datos, bajo cuáles políticas y si las solicitudes de acceso fueron permitidas o rechazadas. Los registros de gestión indicarán incluso cuándo un usuario privilegiado envía un comando como "cambiar de usuario" para tratar de imitar y potencialmente explotar las credenciales de otro usuario. Compartir estos registros con una plataforma de información de seguridad y gestión de eventos (SIEM, por sus siglas en inglés), le ayuda a descubrir patrones anómalos en procesos y accesos de usuarios, lo que puede dar lugar a una investigación posterior. Por ejemplo, un administrador o proceso puede acceder a volúmenes más grandes de datos de lo normal en forma repentina, o intentar hacer una descarga de archivos no autorizada. Estos eventos pueden apuntar a un ataque de ATP anterior, o a actividades internas malintencionadas.

Módulos de seguridad de hardware (HSM)

LosHSMs de Thales ofrecen un entorno fortalecido y resistente a manipulaciones indebidas para un procesamiento criptográfico seguro, generación y protección de claves, cifrado y más. Disponible en tres factores de forma con certificación FIPS 140-2, los HSMs apoyan una variedad de escenarios de implementación. Los HSMs Connect y Solo también ofrecen un entorno seguro para ejecutar aplicaciones confidenciales. La opción de CodeSafe le permite ejecutar códigos dentro de los límites, protegiendo sus aplicaciones y los datos que estas procesan.

Los HSMsademás:

• Generan y protegen las claves de autoridad de raíz y certificación (AC), prestando apoyo para las PKIs en una variedad de casos de uso.
• Firman su código de solicitud de manera que pueda asegurarse de que sus programas se mantengan seguros, sin alteraciones y auténticos
• Elaboran certificados digitales para otorgar credenciales y autenticar dispositivos electrónicos patentados para aplicaciones de IoT y otras implementaciones de la red.