protección de datos personales

DIEZ REGLAS PARA LA PROTECCIÓN DE DATOS PERSONALES

Posted on

Seguridad de datos personales es un tema muy importante para empresas. Las empresas siempre deben seguir reglas básicas para seguridad de datos personales.

1. CONSENTIMIENTO

Siempre que sea posible obtener el consentimiento antes de la adquisición, posesión o el uso de datos personales. Según reglas de protección de datos personales, cualquier formulario, ya sea en papel o basado en web, quienes están diseñados para recopilar datos personales deben contener una declaración explicando qué es la información que se utilizará para y quién puede ser revelada.

2. DATOS CONFIDENCIALES

Tenga especial cuidado con los datos personales confidenciales (es decir, información relacionada con la raza, opinión política, la salud física o mental, las creencias religiosas, afiliación sindical, la sexualidad, delitos, etc.). Acuerdo a recomendaciones de empresa de adaptación LOPD International Institute of Cyber Security IICS, dicha información sólo debe mantenerse y utilizarse cuando sea estrictamente necesario. Siempre obtener el consentimiento de la persona en cuestión y notificarles de que existe uso probable (s) de estos datos.

3. LOS DERECHOS INDIVIDUALES

Siempre que sea posible se abierto con las personas en relación con la información que se llevan a cabo sobre ellos para asegurar protección de datos personales. En la preparación de informes o de agregar notas a los documentos oficiales, tenga en cuenta que los individuos tienen el derecho de ver todos los datos personales y por lo tanto podrían leer los comentarios ‘informales’ hechos por ellos. También tenga en cuenta que esto incluye los correos electrónicos que contienen datos de carácter personal y así mismo se debe tener precaución cuando se envían correos electrónicos.

4. LOS ARCHIVOS DE REVISIÓN

Sólo crear y conservar los datos personales cuando sea absolutamente necesario ya que seguridad de datos personales es muy importante. De forma segura disponer o eliminar cualquier dato personal que no esté actualizado, irrelevantes o que no necesite. Acuerdo a recomendaciones deempresa de adaptación LOPD deben realizar exámenes regulares de los archivos y desechar los datos innecesarios u obsoletos de forma sistemática.

5. ELIMINACIÓN DE LOS REGISTROS

Para mantener seguridad de dataos personales, cuando se deshaga de los registros en papel que contienen datos personales, tratarlos con confidencialidad (es decir desmenuza este tipo de archivos en lugar de disponer de ellos como papel de desecho). Del mismo modo cualquiera innecesario o fuera de la fecha de los documentos electrónicos deben suprimirse. Otro punto muy crítico para protección de datos personales es que los equipos de negocios no deben ser regalados o vendidos a menos que los servicios de información se han asegurado de que toda la información almacenada en él se ha eliminado o borrado.

6. PRECISIÓN

Mantenga todos los datos personales actualizados y precisos. Tenga en cuenta los cambios de dirección y otras modificaciones. Si hay alguna duda sobre la exactitud de los datos personales, entonces no deberían ser utilizados explica experto de una empresa de adaptación LOPD.

7. SEGURIDAD

Mantenga todos los datos personales de forma segura como sea posible (por ejemplo, en archivadores con llave o en habitaciones que se puede bloquear cuando estén desocupadas). Para mantener seguridad de dataos personales, no deje los registros que contengan datos de carácter personal sin vigilancia en oficinas o áreas accesibles a los miembros del público. Asegúrese de que los datos personales no se muestran en las pantallas de los ordenadores visibles para los transeúntes. Tenga en cuenta que estas consideraciones de seguridad también se aplican a los registros tomados fuera de la empresa, por ejemplo, para el trabajo en casa o para una reunión fuera. También tener en cuenta que el correo electrónico no es necesariamente confidencial para protección de datos personales o asegurar así que no debe ser utilizado para las comunicaciones potencialmente sensibles.

8. LA REVELACIÓN DE DATOS

Nunca revele datos personales a terceros sin el consentimiento de la justificación razonable de otro individuo explica experto de una empresa de adaptación LOPD. Esto incluye los padres, tutores, familiares y amigos de los datos del sujeto quienes no tienen derecho a acceder a la información sin el consentimiento del interesado. Los datos personales sólo pueden comunicarse legítimamente a terceros para fines relacionados y para cumplir con los requisitos legales de protección de datos personales, pero sólo en los que se conforman con las solicitudes de información de identidad ‘y la legitimidad de la solicitud.

Las solicitudes de información personal se reciben de vez en cuando de organizaciones tales como la policía y el gobierno. Las empresas deben esforzarse por cooperar con estas organizaciones, pero los primeros pasos se deben tomar son asegurarse de que las solicitudes son genuinas y legítimas.

9. TRANSFERENCIA DE TODO EL MUNDO

Siempre debes obtener el consentimiento de la persona de que se trate antes de colocar la información sobre ellos en Internet (aparte de los detalles básicos del contacto de oficina) y antes de enviar cualquier información personal fuera del país acuerdo a recomendaciones de iicybersecurity, una empresa de adaptación LOPD.

10. PROCESADORES TERCEROS

Tenga en cuenta que si está utilizando un procesador de datos, por ejemplo, a un tercer partido para gestión de base de datos y se les da acceso a los datos personales, entonces usted debe tener un contrato escrito en marcha con ellos para garantizar que ellos tratan a dicha información con confidencialidad, tienen medidas de seguridad de datos personales y en cumplimiento de la ley de protección de datos personales.

Podrían aprender más sobre protección de datos personales, medidas de seguridad de datos personales con ayuda de expertos de empresas de adaptación LOPD.

¿CÓMO LIMPIAR UN TELÉFONO ANDROID COMPLETAMENTE?

Posted on Updated on

La opción “Restablecer configuración de fábrica” de Android es perfecta para usarse cuando usted está teniendo problemas con el teléfono o simplemente quiere un teléfono completamente limpio para empezar de nuevo. Sin embargo, uno de sus principales usos es borrado seguro de datos para protección de datos personales antes de deshacerse de su teléfono, ya sea para venderlo, dárselo a alguien o simplemente tirarlo a la basura.

EL RESTABLECIMIENTO DE FÁBRICA NO ELIMINA TODOS LOS DATOS

Uno podría pensar que toda la información personal se elimina por completo y está segura ante los ojos de otras personas. Pero ese no es el caso, algunos de los datos, incluyendo información personal, sigue siendo accesible en el almacenamiento local, incluso después de la reiniciación de fábrica acuerdo a expertos de servicios de protección de datos.

Cuando restauras de fábrica tu teléfono Android. Dicha información es en realidad “marcado como eliminado” y oculto por lo que no se puede ver a simple vista. Que incluso tus fotos, correos electrónicos, textos y contactos, etc y hace borrado seguro de datos.

Según expertos de protección de datos personales, todos los datos están presentes en la memoria del teléfono y se puede recuperar fácilmente utilizando una herramienta gratuita de recuperación de datos, tales como FKT Imager. Si usted acaba de hacer un simple reinicio de fábrica y alguien pone sus manos en su teléfono, ellos podrán recuperar fácilmente la mayor parte de su información personal con el uso de una herramienta de este tipo de recuperación de datos.

CntTpXgUkAABCRN

¿POR QUÉ EL REINICIO DE FÁBRICA DEJA DATOS?

Ahora, usted debe estar pensando que ¿por qué ocurre esto? Y porque no hace borrado seguro de datos en realidad. Actualmente esto toma espacio en la memoria, pero esto no se le muestra a usted y al empezar a utilizar el teléfono de nuevo, estos datos se sobrescriben.

En un momento en que los discos duros eran muy lentos, los fabricantes de sistemas operativos encontraron que era mucho mejor marcar el espacio como libre en lugar de realmente (física) eliminar el contenido menciona experto de servicios de protección de datos.

Con el tiempo, el nuevo contenido se escribiría, por lo que parecía innecesario para escribir ceros o números aleatorios en la parte superior de la misma. Esto también evita el desgaste de la memoria Flash, que tiene un número limitado de operaciones de escritura en su vida útil. Es una buena práctica, pero supone que usted cuenta todavía con control de su dispositivo. Además, esto le da la oportunidad de recuperar los datos eliminados cuando no hace borrado seguro de datos.

Sin embargo, si desea eliminar por completo su teléfono Android a continuación, la respuesta a este problema es realmente simple, todo lo que necesita hacer es cifrar los datos del teléfono antes de reiniciarlo de fábrica. Siguiendo estos sencillos pasos, usted será capaz asegurar protección de datos personales.

CIFRAR SU TELÉFONO ANTES DE BORRAR LOS DATOS

PASO 1: CIFRAR EL TELÉFONO

Al cifrar todos los datos del teléfono antes de reiniciar de fábrica el teléfono, serán revueltos todos sus datos. Incluso si un experto de servicios de protección de datos quiere recuperar los datos utilizando cualquiera de las herramientas de recuperación de datos, ellos tendrán que proporcionar una clave específica para descifrar los datos en primer lugar.

Para cifrar los datos sólo tiene que ir a:

Configuración y pulse en Seguridad

limpiar-telefono-android

En Seguridad, verá la opción de dispositivo de cifrado (en algunos teléfonos se Cifrar teléfono) pulsa sobre él, y en la página siguiente puedes simplemente pulsar en Configurar el tipo de bloqueo de pantalla para activar el bloqueo.

limpiar-telefono-android-1

Todo el proceso puede tardar hasta una hora, así que asegúrese de que su teléfono esté cargado lo suficiente y no se tenga que utilizar su teléfono durante al menos una hora.

PASO 2: RESTABLECER CONFIGURACIÓN DE FÁBRICA DE TU TELÉFONO

Una vez cifrados los datos del teléfono, se puede con seguridad restablecer de fábrica su teléfono. Para restablecer de fábrica su teléfono, vaya a:

Ajustes y toque en Copia de seguridad y restablecimiento bajo el título “personal”.

The whole process can take up to an hour, so make sure your phone is charged enough and you don’t need to use your phone for at least an hour.

limpiar-telefono-android-2

Al final, verá la opción de Restablecer datos de fábrica, pulse en él y en la página siguiente pulse en Reiniciar teléfono al final de la pantalla.

limpiar-telefono-android-3

El teléfono se reiniciará y tomará alrededor de 2-5 minutos para reiniciar. Asegúrese de que tiene suficiente batería para manejar el proceso y la batería no se retira durante el proceso. Esto puede conducir a la corrupción de los datos.

PASO 3: CARGA DE DATOS FALSOS Y RESTABLECE TU TELEFONO DE FÁBRICA

Si no estás satisfecho y quieres ir aún más lejos con la protección de datos personales, a continuación, puede agregar algunos pasos adicionales explica experto de servicios de protección de datos.

Cargar datos falsos en su teléfono, puedes conectar el teléfono a una PC y copiar / pegar cosas que sean lo suficientemente grandes como para llenar todo el espacio (aunque no es necesario llenar todo el espacio, más es simplemente mejor).

Después de cargar todos los datos falsos, hacer otro reinicio de fábrica al igual que en el Paso 2. Ahora, ¿cómo este paso adicional añade más protección? Al cargar datos falsos y eliminarlos mediante la opción de restablecimiento tu teléfono de fábrica, todos sus datos personales será enterrado bajo todos los datos falsos, lo que los hace  aún más difícil de alcanzar.

Si aún no está satisfecho, a continuación, repetir este paso tantas veces quiera hasta que esté completamente satisfecho. Este proceso no hace borrado seguro de datos pero asegura que sea difícil recuperar tus datos.

¿QUÉ ES INSECURE DIRECT OBJECT REFERENCE Y CÓMO SOLUCIONARLO?

Posted on

Insecure Direct Object Reference, también llamado IDOR. Se refiere a cuando una referencia a un objeto de implementación interna, tal como un archivo o llave de base de datos, se expone a los usuarios sin ningún otro control de acceso. Según el curso de protección de datos personales, el atacante puede manipular esas referencias para obtener acceso a los datos no autorizados.

 PREDOMINIO

No hay buenos números para basar la estimación en él. Sin embargo, al observar eventos conocidos, así como los informes de bug bounty públicas se puede afirmar que se trata de una vulnerabilidad muy común que afecta protección de datos personales. Esto es también lo que hemos descubierto durante nuestra propia investigación sobre protección de datos personales.

IMPACTO POTENCIAL

Es imposible decir cuál es el impacto potencial de IDOR, ya que varía mucho dependiendo de qué tipo de datos o archivos que el atacante puede conseguir. Podría ser cualquier cosa desde información inocente hasta estados de cuenta, y mucho más según profesores de curso de protección de datos personales.

EXPLOTABILIDAD

Debido a que es tan fácil para un atacante aprovecharlo sin algún sistema de protección de datos personales, IDOR es muy probable que sea abuse. Por supuesto, esto también varía, ya que no siempre puede ser obvio cómo enumerar los enlaces para los archivos.

ACONTECIMIENTOS BIEN CONOCIDOS

De regreso en 2010, cuando el iPad era el gadget más cool para los primeros usuarios, AT & T sufrio de una insegura referencia de objeto directo que expuso los datos perosnales de al menos más de 100.000 propietarios. Se expuso la dirección de correo electrónico de los propietarios, así como las ICC-IDs (el ID de la tarjeta SIM). A medida que Apple proporcionó los datos a AT & T, a menudo recibió la culpa de esta vulnerabilidad que afecto protección de datos personales.

Mediante el envío de una solicitud a AT & T, junto con un ICC-ID, el servidor respondería con la dirección de correo electrónico correspondiente. A medida que el ICC-IDs se puede enumerar examinado sólo unos identificadores, este ataque pudo ser totalmente automatizado permitiendo una fuga de datos personales considerable.

 ¿CÓMO DESCUBRIRLO?

Según el curso de protección de datos personales, el análisis de código es adecuado para este tipo de vulnerabilidad. Cada lugar que presenta los datos restringidos debe ser investigado, para asegurarse de que hay controles en el lugar, lo que garantiza que el usuario está autorizado para la información solicitada.

Esto puede por supuesto ser automatizado, en cierta medida, sin acceso al código fuente del sitio, y tenerlo es una gran ventaja. Con la fuente en la mano, la vulnerabilidad de este tipo es a menudo bastante fácil de descubrir.

UN EJEMPLO MUY BASICO DE APLICACIÓN VULNERABLE

Cuando un usuario accede al panel de control en la dirección del banco, el usuario se redirige a la siguiente dirección:

https://bank/balance?acc=123

En este caso, 123 es el ID de la cuenta del usuario, por lo que el usuario verá el saldo. Si el usuario quisiera abusar de esto, sería posible simplemente cambiar la URL de parámetros de identificación de otra persona y en lugar de tener acceso a la cuenta de ese ID.

REMEDIACIÓN

Según el curso de protección de datos personales, la única solución real a este problema es la implementación de un control de acceso. El usuario tiene que ser autorizado por la información solicitada antes de que el servidor proporcione la misma.

También se recomienda a menudo usar algo menos obvio que sea más difícil de enumerar como referencia. Ej., Una cadena aleatoria en lugar de un número entero. Esto puede ser una buena idea por varias razones, pero no debe confiar absolutamente en esto como la única prevención contra este tipo de ataque según expertos de protección de datos personales. Además deben capacitar sus equipos de TI con curso de protección de datos personales para que entiendan como arreglarlo.