martes, 27 de diciembre de 2022

Tratamiento de datos biométricos desde un enfoque de privacidad

La recopilación y el uso de datos biométricos están sujetos al Reglamento General de Protección de Datos (RGPD) de la Unión Europea y a la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD). El RGPD y la LOPDGDD proporcionan un marco legal para el tratamiento de información de carácter personal, incluidos los datos biométricos, que establecen los límites y obligaciones de los responsables de datos y los encargados del tratamiento de los mismos.

En el caso de los datos biométricos, estos deben estar protegidos adecuadamente y se deben cumplir los principios de proporcionalidad y necesidad. Esto significa que el responsable de datos debe asegurarse de que los datos biométricos que se recopilen sean los mínimos necesarios para el propósito para el que se recopilan, y que se almacenen y procesen de acuerdo con el propósito específico para el que se recopilaron.

Además, los datos biométricos deben ser tratados de manera segura, y el responsable del tratamiento debe tomar las medidas necesarias para protegerlos de cualquier acceso y/o tratamiento no autorizado. Esto incluye el uso de cifrado, la implementación de medidas de seguridad físicas, como cerraduras y sistemas de vigilancia, y la auditoría de los sistemas de seguridad para garantizar que se cumplan los estándares de seguridad.

miércoles, 14 de diciembre de 2022

Crónica del evento: No cON Name 2022

Otro año más hemos tenido la oportunidad de asistir a la última edición del congreso No cON Name el congreso público de seguridad más longevo de España (nacido en 1999, en Palma de Mallorca), en una edición especial de nuevo en formato presencial después de 2 años de espera. Durante el discurso de apertura, la organización dio las gracias a los más de 150 asistentes, así como a todos los ponentes por su participación consolidando la apuesta internacional del congreso. También puso en valor el papel i el esfuerzo de todos los voluntarios por hacerlo posible, así como a la Biblioteca Jaume Fuster por acogerles i permitirles hacer uso de su espacio.

A continuación, podéis encontrar un resumen de las presentaciones que se llevaron a cabo durante dos jornadas:

lunes, 12 de diciembre de 2022

Crónica del evento: XVI Jornadas STIC

Las Jornadas STIC del CCN-CERT llegaron en su decimosexta edición en un momento de especial trascendencia para la ciberseguridad en nuestro país. Son una gran oportunidad para las sinergias y las colaboraciones.

El conocimiento que se puede adquirir en estos eventos es invaluable, proporcionando valor al trabajo en equipo y la creatividad, lo cual es muy relevante para nuestra actividad.

lunes, 5 de diciembre de 2022

Métodos de validación en PCI DSS v4.0

Tras más de más de 3 años de trabajo, el 31 de Marzo de 2022, el PCI SSC lanzó la versión 4.0 del estándar PCI DSS. Esta versión, ha sido la más transgresora de toda la historia de este estándar de seguridad de datos de tarjeta, debido a que cambia por completo el enfoque y la forma a la que, tradicionalmente, se estaba acostumbrado a trabajar con él, pudiendo adoptar una estrategia de cumplimiento basada totalmente en el riesgo de cada organización, en lugar de cumplir con requisitos concretos, rígidos y exigidos por el PCI SSC.

PCI DSS 4.0 supone un cambio significativo en sí mismo. Aunque se mantiene la esencia del estándar anterior, las tecnologías emergentes y la experiencia adquirida durante estos años han dado paso a la siguiente versión, que trata de adaptarse a los tiempos en los que nos encontramos.

viernes, 2 de diciembre de 2022

Protección de las comunicaciones PCI DSS externas con certificados SSL

Los certificados SSL (Secure Sockets Layer), también denominados certificados digitales o certificados de clave pública, son documentos digitales firmados por una Autoridad Certificadora (CA por sus siglas en inglés) utilizados para establecer una comunicación segura entre el navegador o computadora de un usuario, y un servidor o sitio web, garantizando la seguridad mediante cifrado robusto de los datos que son transportados como pueden ser datos de tarjeta o credenciales de inicio de sesión. La firma por parte de la CA implica que estos certificados estén verificados utilizando una cadena de confianza, asegurando su fiabilidad.

Los certificados SSL se basan en el protocolo TLS (SSL quedó obsoleto) y son los encargados de que los sitios web cambien de HTTP a HTTPS proporcionando: