MEDIDAS TÉCNICAS - RGPD
La autenticación es una medida de seguridad técnica
Puede ser necesario que las personas confirmen su identidad para garantizar que la persona adecuada tenga acceso a sistemas que contengan datos personales. Esto se llama autenticación. Cuando una empresa necesita un control de autorización efectivo para evitar que personas no autorizadas accedan a la información, puede ser útil implementar un proceso de autenticación seguro.
Medida de seguridad técnica - Autenticación
Las empresas que están sujetas al RGPD deben implementar varias medidas de seguridad adecuadas para proteger los datos personales. A continuación puede leer más sobre la autenticación, que es un tipo de medida de seguridad técnica.
Tipo común de proceso de autenticación
Es común que las personas creen una cuenta de usuario con una contraseña que deben usar para iniciar sesión, por ejemplo, en un sistema. Es un tipo de autenticación, pero no siempre lo suficientemente segura. Por lo tanto, es común que un usuario también necesite complementar el inicio de sesión con algo más en el proceso de autenticación. Por ejemplo, si una persona va a iniciar sesión en su banco para transferir dinero a alguien, la persona puede necesitar verificar su identidad al proporcionar también un código de seguridad.
Ejemplos de formas más seguras de autenticación que solo nombres de usuario y contraseñas
- identificación electrónica:De acuerdo con una directiva de la UE, todos los países de la Unión deben implementar una aplicación que los ciudadanos puedan usar para confirmar su identidad digitalmente, la llamada identificación electrónica. Es una forma más segura para que las personas confirmen su identidad, que simplemente iniciando sesión a través de nombre de usuario y contraseña.
- Huellas dactilares: Otra forma de autenticación más segura es que, por ejemplo, un empleado que va a iniciar sesión en un sistema con datos personales confidenciales, necesita iniciar sesión en el sistema con un nombre, contraseña y huella digital.
Cómo las empresas pueden utilizar la autenticación en la práctica
Necesidades
Lo primero que una empresa debe hacer es analizar la necesidad de autenticación. Por ejemplo, qué tipos de datos personales pueden necesitar ser protegidos a través de un proceso de autenticación seguro.
Documentación
Es bueno documentar siempre el trabajo de protección de datos de la empresa, ya que facilita demostrar que la empresa cumple con RGPD en la práctica. Si el procesamiento se refiere a datos personales dignos de protección adicional, es particularmente importante, por ejemplo, crear una política sobre su procesamiento. Además, es bueno redactar instrucciones por escrito y proporcionar una formación adecuada a los empleados.
Cuentas de usuario
Es bueno si todos los usuarios tienen sus propias cuentas de usuario, en lugar de compartir una común. De esta manera, la empresa puede ver más fácilmente quién ha hecho qué en el sistema y verificar que los datos personales se procesen correctamente. Además, es bueno si las contraseñas son complejas y fuertes. Si la empresa necesita un proceso de autenticación más seguro con, por ejemplo, tarjetas inteligentes, estas también deben ser individuales por usuario.
Proceso de autenticación
Cuanto más importantes sean los datos personales procesados, mayores serán los requisitos de seguridad. Por lo tanto, es importante que la autenticación corresponda al nivel de clase de los mismos.
Registro
Por razones de seguridad, es una buena idea registrar intentos de inicio de sesión fallidos. Lo mismo se aplica a los inicios de sesión exitosos.
Medidas demasiado drásticas
Tenga en cuenta que no siempre es adecuado aplicar medidas demasiado drásticas relacionadas con la identificación. Por ejemplo, puede ser desproporcionado solicitar a una persona que presente una fotocopia de su pasaporte al eliminar su cuenta de usuario en un servicio gratuito.
MÁS INFORMACIÓN SOBRE RGPD
La copia de seguridad es otra medida técnica
Para evitar que los datos personales se eliminen ilegalmente, es bueno respaldarlos. Por ejemplo, almacenando las copias en un servicio en la nube, de modo que la empresa pueda recuperar los datos personales perdidos si es necesario. Si los datos personales se eliminan ilegalmente o por error, por ejemplo porque un ordenador que almacena datos personales se ve afectado por un virus, se trata de una violación de datos personales. Por lo tanto, tener copias de seguridad de los datos almacenados es una medida de seguridad técnica preventiva. Tenga en cuenta que es importante proteger las copias de seguridad, al igual que las empresas necesitan proteger los originales.