Your SlideShare is downloading. ×
Alcances de la directiva de seguridad de la información administrada por los bancos de datos personales
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Alcances de la directiva de seguridad de la información administrada por los bancos de datos personales

276
views

Published on

Exposición realizada en el marco de la Jornada de orientación a titulares de bancos de datos personales de administración privada. …

Exposición realizada en el marco de la Jornada de orientación a titulares de bancos de datos personales de administración privada.

Basado en la Ley 29733 (legislación peruana) : Ley de protección de datos personales y su reglamento

Published in: Technology

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
276
On Slideshare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
36
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Lima – Agosto 2012 Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada Lima – Noviembre 2013 Alcances de la Directiva de Seguridad de laAlcances de la Directiva de Seguridad de la Información administrada por los Bancos deInformación administrada por los Bancos de Datos PersonalesDatos Personales Carlos A. Horna Vallejos Consultor en Sistemas de Gestión Seguridad de la Información y Ciberseguridad
  • 2. Lima – Agosto 2012 Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada Lima – Noviembre 2013 AgendaAgenda ● Seguridad de la Información ● Referencias de seguridad en la ley 29733 ● La Directiva de Seguridad de la Información Administrada por los Bancos de Datos Personale ● Condiciones de seguridad ● Requisitos de seguridad ● Disposiciones específicas ● Medidas de seguridad
  • 3. Lima – Agosto 2012Lima – Noviembre 2013 Seguridad de la InformaciónSeguridad de la Información Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  • 4. Lima – Agosto 2012Lima – Noviembre 2013 Confidencialidad Disponibilidad Integridad Propiedad de ser accesible y útil a petición por una entidad autorizada Propiedad de que la información no esté disponible o se revelará a personas no autorizadas, entidades o procesos Propiedad del proteger la exactitud e integridad de los activos Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  • 5. Lima – Agosto 2012Lima – Noviembre 2013 Seguridad de la Información Confidencialidad Disponibilidad Integridad Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  • 6. Lima – Agosto 2012Lima – Noviembre 2013 Referencias de seguridad en la ley 29733Referencias de seguridad en la ley 29733 Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  • 7. Lima – Agosto 2012Lima – Noviembre 2013 Articulo 2.- Definiciones 10. Nivel suficiente de protección para los datos personales Nivel de Protección que abarca por lo menos la consignación y el respeto de los principios rectores de esta Ley, así como medidas técnicas de seguridad y confidencialidad, apropiadas según la categoría de datos que se trate. Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  • 8. Lima – Agosto 2012Lima – Noviembre 2013 Principio de legalidad Principio de consentimiento Principio de finalidad Principio de proporcionalidad Principio de calidad Principio de seguridad Principio de disposición de recurso Principio de nivel de protección adecuado Nivel suficiente de protección para los datos personales. Datos personales. Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  • 9. Lima – Agosto 2012Lima – Noviembre 2013 Articulo 8.- Principio de calidad Los datos personales que vayan a ser tratados deben ser veraces, exactos y, en la medida de lo posible, actualizados, necesarios, pertinentes y adecuados respecto de la finalidad para la que fueron recopilados. Deben conservarse de forma tal que se garantice su seguridad y solo por el tiempo necesario para cumplir con la finalidad del tratamiento. Calidad Integridad Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  • 10. Lima – Agosto 2012Lima – Noviembre 2013 Articulo 9.- Principio de seguridad El titular del banco de datos personales y el encargado de su tratamiento deben adoptar las medidas técnicas, organizativas y legales necesarias para garantizar la seguridad de los datos personales. Las medidas de seguridad deben ser apropiadas y acordes con el tratamiento que se vaya a efectuar y con la categoría de datos personales de que se trate. Apropiadas y acorde con el tratamiento y la categoría de datos personales de que se trate. Medias Técnicas Medias Organizativas Medias Legales Seguridad de Datos Personales Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  • 11. Lima – Agosto 2012Lima – Noviembre 2013 Articulo 11.- Principio de Nivel de protección adecuado Para el flujo transfronterizo de datos personales, se debe garantizar un nivel suficiente de protección para los datos personales que se vayan a tratar o, por lo menos, equiparable a lo previsto por esta ley o por los estándares internacionales en la materia. Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  • 12. Lima – Agosto 2012Lima – Noviembre 2013 Articulo 16.- Seguridad del tratamiento de datos personales Para fines del tratamiento de datos personales, el titular del banco de datos personales debe adoptar medidas técnicas, organizativas y legales que garanticen su seguridad y eviten su alteración, perdida, tratamiento o acceso no autorizado. Titular del Banco de Datos Personales Medias Técnicas Medias Organizativas Medias Legales Amenazas contempladas Alteración Pérdida Tratamiento o acceso no autorizado Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  • 13. Lima – Agosto 2012Lima – Noviembre 2013 Articulo 16.- Seguridad del tratamiento de datos personales Para fines del tratamiento de datos personales, el titular del banco de datos personales debe adoptar medidas técnicas, organizativas y legales que garanticen su seguridad y eviten su alteración, perdida, tratamiento o acceso no autorizado. Los requisitos y condiciones que deben reunir los bancos de datos personales en materia de seguridad son establecidos por la autoridad nacional de protección de datos personales, salvo la existencia de disposiciones especiales contenidas en otras leyes. Autoridad Nacional de Protección de Datos Personales Requisitos que deben reunir los bancos de datos personales en materia de seguridad Condiciones que deben reunir los bancos de datos personales en materia de seguridad Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  • 14. Lima – Agosto 2012Lima – Noviembre 2013 Articulo 16.- Seguridad del tratamiento de datos personales Para fines del tratamiento de datos personales, el titular del banco de datos personales debe adoptar medidas técnicas, organizativas y legales que garanticen su seguridad y eviten su alteración, perdida, tratamiento o acceso no autorizado. Los requisitos y condiciones que deben reunir los bancos de datos personales en materia de seguridad son establecidos por la autoridad nacional de protección de datos personales, salvo la existencia de disposiciones especiales contenidas en otras leyes. Queda prohibido el tratamiento de datos personales en bancos de datos que no reúnan los requisitos y las condiciones de seguridad a que se refiere este articulo. Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  • 15. Lima – Agosto 2012Lima – Noviembre 2013 Tratamiento de Datos personales (Aspectos de Seguridad) Titular del Banco de Datos Personales Banco de datos personales. Medias Técnicas Medias Organizativas Medias Legales Amenazas contempladas Alteración Pérdida Tratamiento o acceso no autorizado Autoridad Nacional de Protección de Datos Personales Requisitos que deben reunir los bancos de datos personales en materia de seguridad Nivel suficiente de protección para los datos personales. Condiciones que deben reunir los bancos de datos personales en materia de seguridad Disposiciones especiales contenidas en otras leyes. Obligaciones del Titular y del Encargado del Banco de Datos Personales Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  • 16. Lima – Agosto 2012Lima – Noviembre 2013 La Directiva de Seguridad de la InformaciónLa Directiva de Seguridad de la Información Administrada por los Bancos de DatosAdministrada por los Bancos de Datos PersonalesPersonales Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  • 17. Lima – Agosto 2012Lima – Noviembre 2013 EstructuraEstructura Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada I. OBJETIVO II. BASE LEGAL III. ALCANCE IV. RESPONSABILIDAD V. DISPOSICIONES GENERALES VI. DISPOSICIONES ESPECÍFICAS VII.PROCEDIMIENTO VIII.DISPOSICIONES COMPLEMENTARIAS IX. ANEXOS
  • 18. Lima – Agosto 2012Lima – Noviembre 2013 ProcedimientoProcedimiento Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada Fin Inicio Generar Condiciones Implementar Requisitos Incorporar el tratamiento de datos personales en el alcance del SGSI. Medidas Organizativas de Seguridad SI NOCategorización Crítico Medidas legales de seguridad Medidas Técnicas de seguridad
  • 19. Lima – Agosto 2012Lima – Noviembre 2013 Categoría en el Tratamiento de Datos Personales Básico Simple Intermedio Complejo Crítico ● Categorías que son aplicables al tipo de tratamiento. ● Un mismo banco de datos puede utilizarse para múltiples tratamientos. ● La directiva es aplicable a los bancos de datos por ser el contenedor de los datos personales. Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  • 20. Lima – Agosto 2012Lima – Noviembre 2013 Tanto los requisitos como las medidas de seguridad a implementar están segmentadas por tipo de tratamiento a los cuales se asigna un color para facilitar la identificación en los cuadros mostrados : Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  • 21. Lima – Agosto 2012Lima – Noviembre 2013 Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  • 22. Lima – Agosto 2012Lima – Noviembre 2013 Condiciones de seguridadCondiciones de seguridad Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  • 23. Lima – Agosto 2012Lima – Noviembre 2013 Condiciones de Seguridad Externa Marco legal apropiado (leyes, reglamentos, o similares). Conocimiento y conciencia (conocer la importancia de la protección de los datos personales, la ley de protección de datos personales y su reglamento). Condiciones de Seguridad Interna Comprender el contexto institucional en el tratamiento y protección de los datos personales (Contexto organizativo, tecnológico, jurídico, legal, contractual, regulatorio, físico, etc.) Determinar claramente las responsabilidades y roles organizacionales apropiados con la suficiente autoridad y recursos para liderar y hacer cumplir la política de seguridad para la protección de datos personales. Enfoque de gestión del riesgo de los datos personales contenidos o destinados a ser contenidos en los bancos de datos personales. Compromiso del titular del banco de datos personales (para brindar los recursos y dirección en la protección de los datos personales) Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  • 24. Lima – Agosto 2012Lima – Noviembre 2013 Requisitos de seguridadRequisitos de seguridad Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  • 25. Lima – Agosto 2012Lima – Noviembre 2013 ● Los requisitos deben tomarse como elementos mandatorios por estar alineados directamente con la Ley 29733 y su reglamento. ● Están presentados en un formato de matriz (cuadro) con desarrollo independiente por tipo de tratamiento, ilustrado para marcar esta diferencia mediante colores. ● La sección 1.4 desarrolla de manera complementaria los requisitos señalados en la sección 1.3 y que hacen referencia a items específicos de la sección 1.4. ● Los requisitos varían en su nivel de detalle con el objetivo de adecuarse al tipo de tratamiento correspondiente a un determinado tipo de banco de datos y su titular (persona natural, PYME, gran empresa, entidad gubernamental, etc). Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  • 26. Lima – Agosto 2012Lima – Noviembre 2013 Disposiciones específicasDisposiciones específicas Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  • 27. Lima – Agosto 2012Lima – Noviembre 2013 Para los tratamientos determinados como complejos o críticos, se debe implementar los controles adecuados de un sistema de gestión de seguridad de la información bajo los requisitos y controles de NTP-ISO/IEC 27001 EDI en su edición vigente, incorporando los bancos de datos personales dentro del alcance del SGSI, asegurando como mínimo el cumplimiento de las medidas indicadas a continuación y que los riesgos asociados al banco de datos personales sean adecuadamente gestionados. El titular del banco de datos personales debe designar un responsable de seguridad del banco de datos personales, quien coordinara en la institución la aplicación de la presente directiva. El rol de responsable de seguridad del banco de datos personales debe asignarse a una persona que tenga las capacidades y autoridad necesaria para el desarrollo de sus funciones. Cuando dicha designación no exista, se entiende que el rol de responsable de seguridad del banco de datos personales recae en el titular del banco de datos personales. Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  • 28. Lima – Agosto 2012Lima – Noviembre 2013 Las referencias a documentos o registros, se entiende que pueden estar en cualquier formato o tipo de medio (Hoja impresa, cuaderno, pagina web, afiche, registro de video, entre otros). Limitar los bancos de datos personales a los datos estrictamente necesarios para cumplir la finalidad para la cual fueron acopiados. Evaluar la posibilidad de implementar mecanismos de anonimización o dosciación aplicables. Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  • 29. Lima – Agosto 2012Lima – Noviembre 2013 Medidas de seguridadMedidas de seguridad Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  • 30. Lima – Agosto 2012Lima – Noviembre 2013 Medidas de Seguridad Organizativas Medidas de Seguridad Jurídicas Medidas de Seguridad Técnicas Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  • 31. Lima – Agosto 2012Lima – Noviembre 2013 Medidas de Seguridad Técnicas Medidas de Seguridad Técnicas relacionadas al acceso no autorizado al banco de datos personales Medidas de Seguridad Técnicas relacionadas a la alteración no autorizada del banco de datos personales Medidas de Seguridad Técnicas relacionadas a la pérdida del banco de datos personales Medidas de Seguridad Técnicas relacionadas al tratamiento no autorizado del banco de datos personales Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  • 32. Lima – Agosto 2012Lima – Noviembre 2013 Medidas de Seguridad Técnicas Medidas complementarias Desarrolla de manera complementaria las medidas de seguridad técnicas anteriores. Indica el item de precedencia al que se aplica. Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  • 33. Lima – Agosto 2012Lima – Noviembre 2013 Anexos Contienen instrucciones que pueden ser utilizados como guía en la aplicación de la directiva. Incluye un ejemplo de declaración simple de cumplimiento con los principios de la Ley. Incluye referencias hacia la utilización de otros documentos para: ● Gestión de Riesgos ● Evaluación de Impacto en la Privacidad (PIA) ● Privacidad por Diseño (Privacy by Desgn) Incluye una referencia al “Cuaderno de seguridad de datos personales” Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  • 34. Lima – Agosto 2012Lima – Noviembre 2013 Gracias por su atenciónGracias por su atención Carlos A. Horna Vallejos Consultor en Sistemas de Gestión Seguridad de la Información y Ciberseguridad Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada