RGPD: ¿Está su empresa cumpliendo con el Reglamento General de Protección de Datos?

El Reglamento Europeo de Protección de Datos o RGPD ya está aquí desde el pasado 25 de mayo de 2018. Pero, ¿sabes si está tu empresa preparada? ¿Qué medidas has de tomar a nivel de ciberseguridad? ¿Has adaptado tu portal web o eCommerce a la exigencia normativa?

¿Qué es el RGPD: Reglamento General de Protección de Datos?

El Reglamento General de Protección de Datos o RGPD es la nueva LOPD a nivel europeo que entró en vigor el pasado 25 de mayo de 2018 y que afecta a todas las empresas que recogen datos de terceros.

El incumplimiento de las normas que lo integran suponen sanciones económicas elevadas de hasta 20 M€ o un 4% del volumen anual de negocio. Por ello, resulta necesario adaptar la organización tanto a nivel normativo como tecnológico a las exigencias requeridas por el RGPD. Para ello, se recomienda que las empresas implanten medidas de monitorización continua  y adapten sus portales webs y ecommerces a la normativa RGPD de manera adecuada.

Ciberseguridad adaptada al cumplimiento del RGPD

Los servicios que ofrece inforges para ayudar a cumplir con el RGPD en materia de Ciberseguridad son los siguientes:

Cumplimiento Normativo y Legal

• Adecuación a estándares y buenas prácticas orientados al cumplimiento normativo exigido o recomendado según la actividad de cada Organización.
• Adaptar y homologar su organización al RGPD: Servicio ‘llave en mano’ que incluye: definición del alcance, análisis inicial, implementación de medidas correctivas y acompañamiento durante el proceso de certificación.
• Servicios de DPO: Figura de “Delegado de Protección de Datos” delegada en especialistas (abogados) para garantizar el cumplimiento de la normativa.
• Migración de datos: Migración de datos de carácter personal alojados en sistemas que no cumplen con la RGPD (ej. Dropbox, Mega, WeTransfer, etc.), a entornos europeos y que cumplen con el RGPD (ej. OneDrive, Office 365).

Auditoría de Seguridad

Las soluciones de Auditoría de Seguridad e Inforges SOC ayudan a las organizaciones a cumplir con los artículos 32, 33 y 34 del RGDP.

Artículo 32 – Deben implementarse controles de seguridad apropiado al nivel de riesgo.

• Auditorías de Seguridad: (Web Hacking, Test de Intrusión, Auditorías de Bastionado, etc.).
• Inforges SOC: (monitorización en tiempo real de los sistemas).

Permiten identificar los riesgos existentes en las organizaciones, con objeto de asegurar la tecnología y los procesos correctos para tener visibilidad del estado de seguridad y priorizar en función del riesgo las tareas de remediación.

Artículos 33 y 34 – Notificación de Incidentes de Seguridad: Fugas y robos de datos.

• Inforges SOC: monitoriza y registra los riesgos existentes, permitiendo trazar e identificar las brechas de seguridad aprovechadas por los atacantes para el robo de información.

Generación de informes con la evolución e histórico de los riesgos de la organización, así como las correcta aplicación de remediaciones.

Soluciones Gestionadas de Seguridad

Las soluciones gestionadas es el primer control que exige el RGPD para proteger los datos de ciberdelincuentes son:

• Protección Perimetral.
• Protección Avanzada en Puestos de trabajo y Servidores.
• Prevención de fuga de información.

Servicios de Recuperación

El RGPD establece que debe garantizarse la Disponibilidad de los datos personales.

• Protección ante pérdida de información: Servicios orientados a la Disponibilidad de los datos (protección de sistemas y continuidad de negocio en entornos on-premise).
• Protección ante pérdida de información: Servicios orientados a la Disponibilidad de los datos (Recuperación y Continuidad de Sistemas)

Un ejemplo claro de servicios de recuperación y continuidad de sistemas lo puedes encontrar en nuestro Auditoría de Seguridad.

Adaptación de Portales Web y Ecommerce al RGPD

¿Cómo debo aplicar el RGPD para ecommerce o portales web? Los servicios que ofrece inforges son los siguientes:

Formularios Web

El RGPD establece que en los formularios de nuestro portal web se debe:

• Incluir una cláusula informativa con resumen del tratamiento que se va a dar a los datos
• Añadir un enlace a la página con información completa y detallada del tratamiento de los datos
• Cada una de las finalidades debe tener una casilla de aceptación específica
• Recomendación: se establecerá un doble opt-in mediante un email para la confirmación del consentimiento.

Política de Cookies

El RGPD establece que en la política de cookies se debe:

• Modificar el aviso sobre cookies para que incluya el consentimiento expreso o la posibilidad de rechazarlas y acceder al sitio.
• Indicar que cookies se usarán y cuál es la finalidad. Se deben describir todas las cookies en uso y su finalidad en la página de política de privacidad o en una página específica sobre cookies.
• Renovar el consentimiento cada 12 meses.
• Registrar del consentimiento otorgado.
• Facilitar la retirada del consentimiento.

Política de Privacidad

El RGPD establece que en la política de privacidad debe:

• Mejorar accesibilidad de la página.
• Indicar expresamente que cumples y te sometes al RGPD
• Detallar la información que se recoge de los usuarios y su finalidad.
• Especificar quién tiene acceso a la información que guardas de tus usuarios.
• Concretar la identidad del responsable de la gestión de los datos
• Informar del derecho de los usuarios a solicitar el acceso a los datos personales que hayan facilitado, a su rectificación o supresión, a la limitación de su tratamiento o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos.
• Exponer la finalidad que vas a dar a los datos recogidos, y durante qué plazo vas a guardarlos.

Protocolo de Seguridad

El RGPD recomienda:

• Creación de un formulario para el ejercicio de los derechos de los usuarios sobre sus datos personales.
• Derechos ARCO actuales LOPD y Nuevos derechos.
• No es obligatoria la migración del sitio web a protocolo https pero es conveniente para una mayor seguridad y confianza del usuario, por SEO y para mejorar velocidad
• Requiere:

• Adquirir certificados
• Realizar un estudio del sitio previo a la migración
• Redirecciones del servidor http -> https

Si quiere obtener más información, no dudes en consultar nuestra página de Consultoría RGPD y pedirnos toda la información que necesites para cumplir el RGPD en tu empresa.