Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Lima – Agosto 2012
Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Da...
Lima – Agosto 2012
Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Da...
Lima – Agosto 2012Lima – Noviembre 2013
Seguridad de la InformaciónSeguridad de la Información
Jornada de Orientación a Ti...
Lima – Agosto 2012Lima – Noviembre 2013
Confidencialidad
Disponibilidad
Integridad
Propiedad de ser
accesible y útil a
pet...
Lima – Agosto 2012Lima – Noviembre 2013
Seguridad de la
Información
Confidencialidad Disponibilidad
Integridad
Jornada de ...
Lima – Agosto 2012Lima – Noviembre 2013
Referencias de seguridad en la ley 29733Referencias de seguridad en la ley 29733
J...
Lima – Agosto 2012Lima – Noviembre 2013
Articulo 2.- Definiciones
10. Nivel suficiente de protección para los datos
person...
Lima – Agosto 2012Lima – Noviembre 2013
Principio de legalidad
Principio de consentimiento
Principio de finalidad
Principi...
Lima – Agosto 2012Lima – Noviembre 2013
Articulo 8.- Principio de calidad
Los datos personales que vayan a ser tratados de...
Lima – Agosto 2012Lima – Noviembre 2013
Articulo 9.- Principio de seguridad
El titular del banco de datos personales y el ...
Lima – Agosto 2012Lima – Noviembre 2013
Articulo 11.- Principio de Nivel de protección
adecuado
Para el flujo transfronter...
Lima – Agosto 2012Lima – Noviembre 2013
Articulo 16.- Seguridad del tratamiento de datos personales
Para fines del tratami...
Lima – Agosto 2012Lima – Noviembre 2013
Articulo 16.- Seguridad del tratamiento de datos personales
Para fines del tratami...
Lima – Agosto 2012Lima – Noviembre 2013
Articulo 16.- Seguridad del tratamiento de datos personales
Para fines del tratami...
Lima – Agosto 2012Lima – Noviembre 2013
Tratamiento de Datos personales (Aspectos de Seguridad)
Titular del Banco de
Datos...
Lima – Agosto 2012Lima – Noviembre 2013
La Directiva de Seguridad de la InformaciónLa Directiva de Seguridad de la Informa...
Lima – Agosto 2012Lima – Noviembre 2013
EstructuraEstructura
Jornada de Orientación a Titulares de Bancos de DatosJornada ...
Lima – Agosto 2012Lima – Noviembre 2013
ProcedimientoProcedimiento
Jornada de Orientación a Titulares de Bancos de DatosJo...
Lima – Agosto 2012Lima – Noviembre 2013
Categoría en el Tratamiento de Datos Personales
Básico
Simple
Intermedio
Complejo
...
Lima – Agosto 2012Lima – Noviembre 2013
Tanto los requisitos como las medidas de seguridad a implementar están
segmentadas...
Lima – Agosto 2012Lima – Noviembre 2013
Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titu...
Lima – Agosto 2012Lima – Noviembre 2013
Condiciones de seguridadCondiciones de seguridad
Jornada de Orientación a Titulare...
Lima – Agosto 2012Lima – Noviembre 2013
Condiciones de Seguridad Externa
Marco legal
apropiado (leyes,
reglamentos, o
simi...
Lima – Agosto 2012Lima – Noviembre 2013
Requisitos de seguridadRequisitos de seguridad
Jornada de Orientación a Titulares ...
Lima – Agosto 2012Lima – Noviembre 2013
● Los requisitos deben tomarse como elementos mandatorios por
estar alineados dire...
Lima – Agosto 2012Lima – Noviembre 2013
Disposiciones específicasDisposiciones específicas
Jornada de Orientación a Titula...
Lima – Agosto 2012Lima – Noviembre 2013
Para los tratamientos determinados como complejos o críticos, se debe implementar ...
Lima – Agosto 2012Lima – Noviembre 2013
Las referencias a documentos o registros, se entiende que pueden estar en cualquie...
Lima – Agosto 2012Lima – Noviembre 2013
Medidas de seguridadMedidas de seguridad
Jornada de Orientación a Titulares de Ban...
Lima – Agosto 2012Lima – Noviembre 2013
Medidas de Seguridad Organizativas
Medidas de Seguridad Jurídicas
Medidas de Segur...
Lima – Agosto 2012Lima – Noviembre 2013
Medidas de Seguridad Técnicas
Medidas de Seguridad Técnicas relacionadas al acceso...
Lima – Agosto 2012Lima – Noviembre 2013
Medidas de Seguridad Técnicas
Medidas complementarias
Desarrolla de manera complem...
Lima – Agosto 2012Lima – Noviembre 2013
Anexos
Contienen instrucciones que pueden ser utilizados como guía en la aplicació...
Lima – Agosto 2012Lima – Noviembre 2013
Gracias por su atenciónGracias por su atención
Carlos A. Horna Vallejos
Consultor ...
Upcoming SlideShare
Loading in …5
×

Alcances de la directiva de seguridad de la información administrada por los bancos de datos personales

837 views

Published on

Exposición realizada en el marco de la Jornada de orientación a titulares de bancos de datos personales de administración privada.

Basado en la Ley 29733 (legislación peruana) : Ley de protección de datos personales y su reglamento

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Alcances de la directiva de seguridad de la información administrada por los bancos de datos personales

  1. 1. Lima – Agosto 2012 Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada Lima – Noviembre 2013 Alcances de la Directiva de Seguridad de laAlcances de la Directiva de Seguridad de la Información administrada por los Bancos deInformación administrada por los Bancos de Datos PersonalesDatos Personales Carlos A. Horna Vallejos Consultor en Sistemas de Gestión Seguridad de la Información y Ciberseguridad
  2. 2. Lima – Agosto 2012 Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada Lima – Noviembre 2013 AgendaAgenda ● Seguridad de la Información ● Referencias de seguridad en la ley 29733 ● La Directiva de Seguridad de la Información Administrada por los Bancos de Datos Personale ● Condiciones de seguridad ● Requisitos de seguridad ● Disposiciones específicas ● Medidas de seguridad
  3. 3. Lima – Agosto 2012Lima – Noviembre 2013 Seguridad de la InformaciónSeguridad de la Información Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  4. 4. Lima – Agosto 2012Lima – Noviembre 2013 Confidencialidad Disponibilidad Integridad Propiedad de ser accesible y útil a petición por una entidad autorizada Propiedad de que la información no esté disponible o se revelará a personas no autorizadas, entidades o procesos Propiedad del proteger la exactitud e integridad de los activos Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  5. 5. Lima – Agosto 2012Lima – Noviembre 2013 Seguridad de la Información Confidencialidad Disponibilidad Integridad Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  6. 6. Lima – Agosto 2012Lima – Noviembre 2013 Referencias de seguridad en la ley 29733Referencias de seguridad en la ley 29733 Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  7. 7. Lima – Agosto 2012Lima – Noviembre 2013 Articulo 2.- Definiciones 10. Nivel suficiente de protección para los datos personales Nivel de Protección que abarca por lo menos la consignación y el respeto de los principios rectores de esta Ley, así como medidas técnicas de seguridad y confidencialidad, apropiadas según la categoría de datos que se trate. Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  8. 8. Lima – Agosto 2012Lima – Noviembre 2013 Principio de legalidad Principio de consentimiento Principio de finalidad Principio de proporcionalidad Principio de calidad Principio de seguridad Principio de disposición de recurso Principio de nivel de protección adecuado Nivel suficiente de protección para los datos personales. Datos personales. Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  9. 9. Lima – Agosto 2012Lima – Noviembre 2013 Articulo 8.- Principio de calidad Los datos personales que vayan a ser tratados deben ser veraces, exactos y, en la medida de lo posible, actualizados, necesarios, pertinentes y adecuados respecto de la finalidad para la que fueron recopilados. Deben conservarse de forma tal que se garantice su seguridad y solo por el tiempo necesario para cumplir con la finalidad del tratamiento. Calidad Integridad Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  10. 10. Lima – Agosto 2012Lima – Noviembre 2013 Articulo 9.- Principio de seguridad El titular del banco de datos personales y el encargado de su tratamiento deben adoptar las medidas técnicas, organizativas y legales necesarias para garantizar la seguridad de los datos personales. Las medidas de seguridad deben ser apropiadas y acordes con el tratamiento que se vaya a efectuar y con la categoría de datos personales de que se trate. Apropiadas y acorde con el tratamiento y la categoría de datos personales de que se trate. Medias Técnicas Medias Organizativas Medias Legales Seguridad de Datos Personales Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  11. 11. Lima – Agosto 2012Lima – Noviembre 2013 Articulo 11.- Principio de Nivel de protección adecuado Para el flujo transfronterizo de datos personales, se debe garantizar un nivel suficiente de protección para los datos personales que se vayan a tratar o, por lo menos, equiparable a lo previsto por esta ley o por los estándares internacionales en la materia. Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  12. 12. Lima – Agosto 2012Lima – Noviembre 2013 Articulo 16.- Seguridad del tratamiento de datos personales Para fines del tratamiento de datos personales, el titular del banco de datos personales debe adoptar medidas técnicas, organizativas y legales que garanticen su seguridad y eviten su alteración, perdida, tratamiento o acceso no autorizado. Titular del Banco de Datos Personales Medias Técnicas Medias Organizativas Medias Legales Amenazas contempladas Alteración Pérdida Tratamiento o acceso no autorizado Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  13. 13. Lima – Agosto 2012Lima – Noviembre 2013 Articulo 16.- Seguridad del tratamiento de datos personales Para fines del tratamiento de datos personales, el titular del banco de datos personales debe adoptar medidas técnicas, organizativas y legales que garanticen su seguridad y eviten su alteración, perdida, tratamiento o acceso no autorizado. Los requisitos y condiciones que deben reunir los bancos de datos personales en materia de seguridad son establecidos por la autoridad nacional de protección de datos personales, salvo la existencia de disposiciones especiales contenidas en otras leyes. Autoridad Nacional de Protección de Datos Personales Requisitos que deben reunir los bancos de datos personales en materia de seguridad Condiciones que deben reunir los bancos de datos personales en materia de seguridad Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  14. 14. Lima – Agosto 2012Lima – Noviembre 2013 Articulo 16.- Seguridad del tratamiento de datos personales Para fines del tratamiento de datos personales, el titular del banco de datos personales debe adoptar medidas técnicas, organizativas y legales que garanticen su seguridad y eviten su alteración, perdida, tratamiento o acceso no autorizado. Los requisitos y condiciones que deben reunir los bancos de datos personales en materia de seguridad son establecidos por la autoridad nacional de protección de datos personales, salvo la existencia de disposiciones especiales contenidas en otras leyes. Queda prohibido el tratamiento de datos personales en bancos de datos que no reúnan los requisitos y las condiciones de seguridad a que se refiere este articulo. Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  15. 15. Lima – Agosto 2012Lima – Noviembre 2013 Tratamiento de Datos personales (Aspectos de Seguridad) Titular del Banco de Datos Personales Banco de datos personales. Medias Técnicas Medias Organizativas Medias Legales Amenazas contempladas Alteración Pérdida Tratamiento o acceso no autorizado Autoridad Nacional de Protección de Datos Personales Requisitos que deben reunir los bancos de datos personales en materia de seguridad Nivel suficiente de protección para los datos personales. Condiciones que deben reunir los bancos de datos personales en materia de seguridad Disposiciones especiales contenidas en otras leyes. Obligaciones del Titular y del Encargado del Banco de Datos Personales Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  16. 16. Lima – Agosto 2012Lima – Noviembre 2013 La Directiva de Seguridad de la InformaciónLa Directiva de Seguridad de la Información Administrada por los Bancos de DatosAdministrada por los Bancos de Datos PersonalesPersonales Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  17. 17. Lima – Agosto 2012Lima – Noviembre 2013 EstructuraEstructura Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada I. OBJETIVO II. BASE LEGAL III. ALCANCE IV. RESPONSABILIDAD V. DISPOSICIONES GENERALES VI. DISPOSICIONES ESPECÍFICAS VII.PROCEDIMIENTO VIII.DISPOSICIONES COMPLEMENTARIAS IX. ANEXOS
  18. 18. Lima – Agosto 2012Lima – Noviembre 2013 ProcedimientoProcedimiento Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada Fin Inicio Generar Condiciones Implementar Requisitos Incorporar el tratamiento de datos personales en el alcance del SGSI. Medidas Organizativas de Seguridad SI NOCategorización Crítico Medidas legales de seguridad Medidas Técnicas de seguridad
  19. 19. Lima – Agosto 2012Lima – Noviembre 2013 Categoría en el Tratamiento de Datos Personales Básico Simple Intermedio Complejo Crítico ● Categorías que son aplicables al tipo de tratamiento. ● Un mismo banco de datos puede utilizarse para múltiples tratamientos. ● La directiva es aplicable a los bancos de datos por ser el contenedor de los datos personales. Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  20. 20. Lima – Agosto 2012Lima – Noviembre 2013 Tanto los requisitos como las medidas de seguridad a implementar están segmentadas por tipo de tratamiento a los cuales se asigna un color para facilitar la identificación en los cuadros mostrados : Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  21. 21. Lima – Agosto 2012Lima – Noviembre 2013 Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  22. 22. Lima – Agosto 2012Lima – Noviembre 2013 Condiciones de seguridadCondiciones de seguridad Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  23. 23. Lima – Agosto 2012Lima – Noviembre 2013 Condiciones de Seguridad Externa Marco legal apropiado (leyes, reglamentos, o similares). Conocimiento y conciencia (conocer la importancia de la protección de los datos personales, la ley de protección de datos personales y su reglamento). Condiciones de Seguridad Interna Comprender el contexto institucional en el tratamiento y protección de los datos personales (Contexto organizativo, tecnológico, jurídico, legal, contractual, regulatorio, físico, etc.) Determinar claramente las responsabilidades y roles organizacionales apropiados con la suficiente autoridad y recursos para liderar y hacer cumplir la política de seguridad para la protección de datos personales. Enfoque de gestión del riesgo de los datos personales contenidos o destinados a ser contenidos en los bancos de datos personales. Compromiso del titular del banco de datos personales (para brindar los recursos y dirección en la protección de los datos personales) Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  24. 24. Lima – Agosto 2012Lima – Noviembre 2013 Requisitos de seguridadRequisitos de seguridad Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  25. 25. Lima – Agosto 2012Lima – Noviembre 2013 ● Los requisitos deben tomarse como elementos mandatorios por estar alineados directamente con la Ley 29733 y su reglamento. ● Están presentados en un formato de matriz (cuadro) con desarrollo independiente por tipo de tratamiento, ilustrado para marcar esta diferencia mediante colores. ● La sección 1.4 desarrolla de manera complementaria los requisitos señalados en la sección 1.3 y que hacen referencia a items específicos de la sección 1.4. ● Los requisitos varían en su nivel de detalle con el objetivo de adecuarse al tipo de tratamiento correspondiente a un determinado tipo de banco de datos y su titular (persona natural, PYME, gran empresa, entidad gubernamental, etc). Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  26. 26. Lima – Agosto 2012Lima – Noviembre 2013 Disposiciones específicasDisposiciones específicas Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  27. 27. Lima – Agosto 2012Lima – Noviembre 2013 Para los tratamientos determinados como complejos o críticos, se debe implementar los controles adecuados de un sistema de gestión de seguridad de la información bajo los requisitos y controles de NTP-ISO/IEC 27001 EDI en su edición vigente, incorporando los bancos de datos personales dentro del alcance del SGSI, asegurando como mínimo el cumplimiento de las medidas indicadas a continuación y que los riesgos asociados al banco de datos personales sean adecuadamente gestionados. El titular del banco de datos personales debe designar un responsable de seguridad del banco de datos personales, quien coordinara en la institución la aplicación de la presente directiva. El rol de responsable de seguridad del banco de datos personales debe asignarse a una persona que tenga las capacidades y autoridad necesaria para el desarrollo de sus funciones. Cuando dicha designación no exista, se entiende que el rol de responsable de seguridad del banco de datos personales recae en el titular del banco de datos personales. Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  28. 28. Lima – Agosto 2012Lima – Noviembre 2013 Las referencias a documentos o registros, se entiende que pueden estar en cualquier formato o tipo de medio (Hoja impresa, cuaderno, pagina web, afiche, registro de video, entre otros). Limitar los bancos de datos personales a los datos estrictamente necesarios para cumplir la finalidad para la cual fueron acopiados. Evaluar la posibilidad de implementar mecanismos de anonimización o dosciación aplicables. Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  29. 29. Lima – Agosto 2012Lima – Noviembre 2013 Medidas de seguridadMedidas de seguridad Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  30. 30. Lima – Agosto 2012Lima – Noviembre 2013 Medidas de Seguridad Organizativas Medidas de Seguridad Jurídicas Medidas de Seguridad Técnicas Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  31. 31. Lima – Agosto 2012Lima – Noviembre 2013 Medidas de Seguridad Técnicas Medidas de Seguridad Técnicas relacionadas al acceso no autorizado al banco de datos personales Medidas de Seguridad Técnicas relacionadas a la alteración no autorizada del banco de datos personales Medidas de Seguridad Técnicas relacionadas a la pérdida del banco de datos personales Medidas de Seguridad Técnicas relacionadas al tratamiento no autorizado del banco de datos personales Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  32. 32. Lima – Agosto 2012Lima – Noviembre 2013 Medidas de Seguridad Técnicas Medidas complementarias Desarrolla de manera complementaria las medidas de seguridad técnicas anteriores. Indica el item de precedencia al que se aplica. Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  33. 33. Lima – Agosto 2012Lima – Noviembre 2013 Anexos Contienen instrucciones que pueden ser utilizados como guía en la aplicación de la directiva. Incluye un ejemplo de declaración simple de cumplimiento con los principios de la Ley. Incluye referencias hacia la utilización de otros documentos para: ● Gestión de Riesgos ● Evaluación de Impacto en la Privacidad (PIA) ● Privacidad por Diseño (Privacy by Desgn) Incluye una referencia al “Cuaderno de seguridad de datos personales” Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada
  34. 34. Lima – Agosto 2012Lima – Noviembre 2013 Gracias por su atenciónGracias por su atención Carlos A. Horna Vallejos Consultor en Sistemas de Gestión Seguridad de la Información y Ciberseguridad Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada

×