<img alt="" src="https://secure.meet3monk.com/215363.png" style="display:none;">

La Ley General de Protección de Datos está destinada a cambiar la forma en que almacenamos y protegemos los datos personales para siempre. Después de extensas campañas de información, la mayoría de los profesionales de TI están al tanto de los principios generales de RGPD y de las multas potencialmente enormes que podrían aplicarse en caso de incumplimiento.

Aunque estas campañas de información han sido útiles, también suelen pasar por alto un factor clave: en la actualidad no existen normas oficiales para el cumplimiento de los RGPD. Es posible que las normas se publiquen con el tiempo, pero lo más probable es que sea un marco común creado a partir de las mejores prácticas de la industria. Ya sea oficial o no, pasará algún tiempo antes de que surjan estas normas.

Mientras tanto, cualquier empresa que logre cumplir con el PCI DSS puede usar ese estándar para guiar sus preparativos de RGPD. Le presentamos algunos aspectos que deberá considerar:

Cifrado de datos

PCI DSS es muy específico sobre el cifrado. Los datos de las tarjetas de pago identificables a título personal deben estar cifrados en todo momento, tanto en tránsito como en reposo. Las claves de cifrado correspondientes también deben estar totalmente protegidas contra pérdida o robo

La aplicación de principios similares a otros datos personales tiene mucho sentido. El cifrado hace que los datos de identificación personal (PID) sean inútiles para los piratas informáticos, lo que ayuda a cumplir al menos parte de su deber de proteger a sus clientes.

Normas de acceso a los datos

Las normas de protección de datos de pago no se limitan a mantener a terceros fuera de su red. PCI DSS también espera que usted ponga limitaciones en el acceso interno. La PID se debe restringir para que sólo aquellos empleados con una necesidad genuina de negocio puedan tener acceso a ellos.

En última instancia, el mismo principio debería aplicarse a todos los datos personales que almacena. Además de identificar el PID y dónde está guardado en la red, su auditoría de RGPD debe considerar quién necesita acceso a esos datos - y cómo restringir el acceso.

Reglas de borrado de datos

PCI DSS exige que los datos fundamentales de pago (PIN, bloqueo PIN y datos de seguimiento) se eliminen tan pronto como se reciba la aprobación de la transacción. Una vez más, el mismo principio se aplica a RGPD - una vez que los datos personales han sido utilizados para el propósito declarado, o ya no cumplen ningún propósito, deben ser eliminados.

Mientras que el PID por PCI DSS se suele eliminar en cuestión de segundos, otros datos personales (protegidos por RGPD) pueden tener una vida útil de días, semanas o meses. Su auditoría PID será crucial para la gestión de los datos con vencimiento, y debe mantener actualizados en todo momento sus registros relacionados con las ubicaciones/tiempos de vida de los PID.

Obtengaayuda

La buena noticia es que las directrices de mejores prácticas están surgiendo rápidamente - para aquellas empresas que ya han alcanzado el cumplimiento de PCI DSS. Independientemente de si su empresa cumple con el PCI DSS o no, usted puede seguir beneficiándose de aplicar los mismos principios básicos.

Para obtener más información sobre cómo prepararse para RGPD (o PCI DSS) utilizando lo que se convertirá en la mejor práctica de la industria, por favor póngase en contacto o empiece por descargar nuestro Cuestionario de Mapeo de RGPD.

Take the first step in your compliance journey:  Download our GDPR Mapping Questionnaire

Marco Borza

Written by Marco Borza

I am the Founder of Advantio.
Technology has been my passion since I was a kid; when I first heard the handshake of an old 300bps modem I realised security would be key in an interconnected world. Since then it has become my passion and primary focus.
The reason why I've started my own business is to make IT Security simple.

Certifications: CISSP / CCSA (Checkpoint) / ITIL Foundations / ACSA (ArcSight)/ Linux+/ PCI-QSA / PA-QSA