Google Website Translator Gadget

martes, 15 de julio de 2014

LOPD i les transferències SFTP (Secure FTP)

AEPD logo
AEPD

LOPD i SFTP

Es suficient la transferència de dades a través de SFTP per a la AEPD?

Donat que poden ser ambigües, especifiquem que volen dir les sigles:
  • SFTP entenem "SSH File Transfer Protocol" o "Secure File Transfer Protocol"
  • LOPD entenem la "Llei Orgànica de Protecció de Dades"
Aquesta es una pregunta difícil de respondre, i de moment només al abast del gust de cada auditor, advocat o la pròpia AEPD. Veiem que es pot fer, donat que no sóc advocat, i com es pot argumentar (o salta a la part de conclusió):

D'acord amb la Guia de Seguretat (la darrera publicada al 2010):
(pag. 12) transmissió de dades a través de xarxes electròniques xifrades
...
(pag. 13) els accessos a través de xarxes de telecomunicacions han de garantir un nivell de seguretat equivalent al dels accessos en modo local.
...
(pag. 26) fitxers de nivell alt, que es transmetin a través de xarxes públiques o inalàmbriques de comunicacions electròniques es realitzaran xifrant prèviament aquestes dades
...
D'altre banda hi ha una sèrie de recomanacions que també es publiquen, per exemple, per a laboratoris farmacèutics (2004) on indica:
(pag. 12) Les mesures ... referides al article 26 104(correcció meva) del reglament seran d'aplicació a la transmissió de dades... quan sigui necessària la utilització de xarxes la titularitat de les quals sigui aliena a la pròpia empresa...
Per la seva banda, les consultes web han de realitzar-se utilitzant un protocol segur (del tipus https)...

D'acord a la definició de SFTP, per exemple de la Wikipedia:
...
SecureFile Transfer Protocol) és un protocol del nivell d'aplicació que proporciona la funcionalitat necessària per a la transferència i manipulació de fitxers en un flux de dades fiable
...

Conclusió

Per tot això, a falta d'una confirmació de la AEPD, o del advocat de torn, SFTP podria ser un protocol acceptable.


Informació addicional

Com a auditors ens caldrà una verificació. Podem utilitzar la pròpia guia de comprovació:
(pag. 51) Comprovacions a realitzar:
La transmissió de dades a través de xarxes es realitza de forma xifrada (o qualsevol altre mecanisme que garanteixi que la informació no sigui intel·ligible ni manipulada per tercers?
Aquest mecanisme es eficaç?
En general es molt recomanable revisar la legislació vigent (en constant manipulació) al buscadors del BOE. Pots seguir els:

Enllaços relacionats:





No hay comentarios:

Publicar un comentario