Visa Europe revealed important stats about the usage of Contactless Cards. Poland, Spain and the UK use this payment methd the most, with UK usage growing by 300% year over year.
Andrea Raeli/May 22,2018
El Reglamento General de Protección de Datos (RGPD) no sólo describe cómo deben protegerse los datos personales, sino también cómo deben tratarse las infracciones. Como controlador de datos (una parte que almacena datos personales), su empresa tiene varias responsabilidades clave, pero ¿sabe cuáles son?
Cuando se exponen los datos personales que su empresa posee, debe evaluar inmediatamente la gravedad de la situación tan pronto como tenga conocimiento de ella. Debe informar de la infracción a la autoridad de control competente (el Comisario de Protección de Datos) en un plazo de 72 horas a partir del momento en que se descubra la infracción.
Cada incidente deberá ser reportado utilizando los mecanismos relevantes para su país. Puede encontrar una lista de contactos de las autoridades de protección de datos de toda Europa aquí. .
Hay una excepción a este requisito de presentación de informes. Si usted puede demostrar claramente que la violación es "improbable que resulte en un riesgo para los derechos y libertades de las personas físicas, de acuerdo con el principio de responsabilidad", no es necesario presentar ningún informe.
Una vez que el informe se haya hecho a su autoridad supervisora, su negocio debe considerar seriamente contactar a cada individuo afectado para informarle sobre el incidente. De hecho, el Comisario de Datos podría obligarle a notificar a estas personas.
Al ponerse en contacto con las personas afectadas a tiempo, su empresa puede comenzar el proceso de restaurar la confianza inmediatamente.
Mientras se contacta con las partes pertinentes, su equipo técnico debe trabajar para identificar la fuente de la infracción. El software necesita ser parcheado, las reglas del firewall actualizadas y cualquier otra protección implementada para prevenir la recurrencia de la violación.
El equipo de TI también deberá ponerse en contacto con los proveedores de servicios de terceros pertinentes para informarles de la infracción. Pueden trabajar juntos para corregir las vulnerabilidades que existen en su infraestructura alojada.
No hacer nada no es una opción - debe actuar inmediatamente para prevenir futuros eventos de pérdida de datos.
La realidad es que las filtraciones de datos se producen de forma regular. Por ejemplo, el 46% de todas las empresas del Reino Unido informaron de al menos un incidente de seguridad durante 2017.
Es esencial que sus preparativos de RGPD incluyan la creación de un plan de respuesta a las infracciones. Similar a un plan de recuperación de desastres, este plan traza las acciones exactas que su equipo necesita tomar, el orden en que se completan y los individuos que supervisarán cada actividad.
También necesitará implementar un registro de infracciones que le permita documentar el incidente. Estas entradas proporcionarán la base para sus comunicaciones con el Comisionado de Datos. Para cada incidente, el registro debe documentar “los hechos relativos a la violación de los datos personales, sus efectos y las medidas correctoras adoptadas”.
Existe una alta probabilidad de que su negocio experimente algún tipo de violación de seguridad cibernética en algún momento en el futuro. Además de invertir mucho en la reducción del riesgo de incumplimiento, su empresa debe prepararse para lo peor, asegurándose de que todas las partes interesadas entiendan su papel en el tratamiento de las secuelas.
El RGPD es una preocupación de toda la organización. Esto significa que los departamentos que hasta la fecha no se han preocupado mucho por la seguridad de los datos, tendrán que recibir formación sobre lo que esto significa. Es posible que los equipos de RR.HH. tengan que cambiar la forma en que se comparten y protegen los CV y los datos de los empleados, el departamento marketing y de ventas debe revisar el desarrollo de su negocio y los canales de generación de clientes potenciales, mientras que el departamento de finanzas debe revisar los datos de los proveedores y de facturación.
Asegurarse de que su organización es plenamente consciente del RGPD y de que está capacitada significa que no sólo se pueden evitar ciertas infracciones, sino que también significa que los equipos pueden identificar rápidamente las infracciones y manejar la situación adecuadamente.
I am the Advantio’s Managing Consultant and GDPR Practitioner in charge of exploring new markets, developing new offers and opportunities, ranging from PCI, to GDPR up to ISO 27001.
Grown up with Commodore VIC-20, Tapes and Floppy Disks, I've always been passionate about technology and everything that surrounds it. The way these evolves is like a never-ending marathon for me.
Making Security accessible to everyone is what drives me to become a man of value.
Certifications: CISA / CISM / ISO27001 Lead Auditor/ PCI QSA
