 |
| AEPD |
LOPD i SFTP
Es suficient la transferència de dades a través de SFTP per a la AEPD?
Donat que poden ser ambigües, especifiquem que volen dir les sigles:- SFTP entenem "SSH File Transfer Protocol" o "Secure File Transfer Protocol"
- LOPD entenem la "Llei Orgànica de Protecció de Dades"
D'acord amb la Guia de Seguretat (la darrera publicada al 2010):
(pag. 12) transmissió de dades a través de xarxes electròniques xifrades
...
(pag. 13) els accessos a través de xarxes de telecomunicacions han de garantir un nivell de seguretat equivalent al dels accessos en modo local.
...
(pag. 26) fitxers de nivell alt, que es transmetin a través de xarxes públiques o inalàmbriques de comunicacions electròniques es realitzaran xifrant prèviament aquestes dades
...
D'altre banda hi ha una sèrie de recomanacions que també es publiquen, per exemple, per a laboratoris farmacèutics (2004) on indica:...
(pag. 13) els accessos a través de xarxes de telecomunicacions han de garantir un nivell de seguretat equivalent al dels accessos en modo local.
...
(pag. 26) fitxers de nivell alt, que es transmetin a través de xarxes públiques o inalàmbriques de comunicacions electròniques es realitzaran xifrant prèviament aquestes dades
...
(pag. 12) Les mesures ... referides al article 26 104(correcció meva) del reglament seran d'aplicació a la transmissió de dades... quan sigui necessària la utilització de xarxes la titularitat de les quals sigui aliena a la pròpia empresa...
Per la seva banda, les consultes web han de realitzar-se utilitzant un protocol segur (del tipus https)...
D'acord a la definició de SFTP, per exemple de la Wikipedia:
Per la seva banda, les consultes web han de realitzar-se utilitzant un protocol segur (del tipus https)...
...
SecureFile Transfer Protocol) és un protocol del nivell d'aplicació que proporciona la funcionalitat necessària per a la transferència i manipulació de fitxers en un flux de dades fiable
...
SecureFile Transfer Protocol) és un protocol del nivell d'aplicació que proporciona la funcionalitat necessària per a la transferència i manipulació de fitxers en un flux de dades fiable
...
Conclusió
Per tot això, a falta d'una confirmació de la AEPD, o del advocat de torn, SFTP podria ser un protocol acceptable.Informació addicional
Com a auditors ens caldrà una verificació. Podem utilitzar la pròpia guia de comprovació:
(pag. 51) Comprovacions a realitzar:
La transmissió de dades a través de xarxes es realitza de forma xifrada (o qualsevol altre mecanisme que garanteixi que la informació no sigui intel·ligible ni manipulada per tercers?
Aquest mecanisme es eficaç?
En general es molt recomanable revisar la legislació vigent (en constant manipulació) al buscadors del BOE. Pots seguir els:
La transmissió de dades a través de xarxes es realitza de forma xifrada (o qualsevol altre mecanisme que garanteixi que la informació no sigui intel·ligible ni manipulada per tercers?
Aquest mecanisme es eficaç?
Enllaços relacionats:
- AEPD-Guía de Seguretat
- AEPD - Legislació aplicable (només Spanish)
- Llei 15/1999 Protección de Datos de Carácter Personal (només Spanish)
- Reial Decret 1720/2007 - Reglament desenvolupament (només Spanish)
- Agència Catalana de Protecció de Dades (Derrogada)
- Recomanacions Laboratoris (2004) (només Spanish)
- Wikipèdia SFTP (català)
- Wikipèdia SFTP (English)
No hay comentarios:
Publicar un comentario