INFORMÁTICA Y TELECOMUNICACION ES
Delitos y Legislación TI Tratamiento de Datos Personales y Afectación de Garantías Fundamentales
Integrantes: Carrera: Asignatura: Profesor: Fecha:
Milton Matamala Sanhueza. Raimundo Johnson La Rivera. Ingeniería en Ciberseguridad. SIDL02-127ICI. Daniel Torres Mansilla. 09.11.2018.
Actividad 2: Modelamiento de datos Los estudiantes de manera grupal diseñan una solución de administración de datos personales que cumpla con las bases del modelo protección de los derechos fundamentales.
Identificar los datos: Clasificar Datos de Identificación
Nombre
Datos identificabilidad
RUN. IP. IMEI. Número celular. Biometría. Patentes.
Características personales
Género. Sexo. Edad. Domicilio.
Académicos y profesionales
Profesión. Grados Académicos. Lugar de Trabajo. Lugar de Estudios.
Información financiera Rango de gastos. Remuneración. /comercial/patrimonial/tributaria. Información de Propiedades y Bienes. Datos de transacción
Conexiones. Datos de Navegación. Medatos. Datos de Trafico y Localización.
Datos sensibles
Datos de salud. Datos Referidos a Política, religión, etnia. Datos de menores de edad.
Identificar habilitantes del tratamiento Interés legitimo: Ejemplo contrato bancario o telefónico y envió de publicidad. Cumplimiento de un contrato o precontrato de una relación de negocios, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento. Autorización legal expresa o competencia. Interés vital. Fuente de acceso público. Consentimiento.
Principio de la Protecci贸n de Datos Licitud Transparencia
Finalidad
Minimizaci贸n
Responsabilid ad
Temporalidad
Identificaci贸 n del tipo de dato
Proporcionalid ad
Mecanismos de Control e Informaci贸n
Confidencialid ad
Calidad
Seguridad
Uso secundario de los datos en la Empresa
Servicio s GestiĂłn del contrato Estrategia s de negocio Desarrollo de inteligencia de negocios, estadĂsticas y Big data
Datos personalizado s
Datos seudononimizad os Datos anonimizad os
Transmisión de datos
AUDITABILIDAD
FINALIDAD
Individualización del requirente.
El responsable del banco de datos que recibe los datos sólo puede usarlos dentro del marco de la finalidad que motivo la transmisión.
Motivo y propósito del requerimiento. Tipo de datos que se transmite.
RESPONSABILIDA D El responsable del banco de datos requerido evalúa la admisibilidad del requerimiento. El requirente se hace responsable de la custodia de los datos.
Tratamientos por mandato Contrato para tratar datos conforme al encargo y a las instrucciones del responsable.
Si trata los datos con objeto distinto de él.
RESPONSABILID AD
CONCEPT O
PROHIBICI ÓN
Tratamiento, sesión o entrega de los datos para un objeto distinto del convenido.
Cumplida la prestación, eliminar los datos o devolverlos. Seguridad, confidencialidad, reportar vulnerabilidades.
OBLIGACION ES
CONTRAT O
Objeto del encargo, duración, finalidad, tipo de dato tratado, categorías, derechos y
Medidas laborales de resguardo interno Perfiles y permisos de acceso documentados
Acuerdos de confidencialidad
Clausulas contractuales y sanciones
PolĂticas de seguridad conocidas Obligaciones al termino del contrato
Planes de informaciĂłn y capacitaciĂłn
Medidas de Seguridad InformĂĄtica
ContraseĂąas robustas
Control de acceso a los datos
Copias de seguridad periĂłdicas
Medidas de Seguridad Física
Ubicación de archivos
Acceso a datos con llave, código o huella
Destrucción de datos finalizado el tratamiento
Datos Personales Extranjeros?
CIS Controls – Top 20
Controles básicos 1. 2. 3. 4. 5.
Inventario y Control de Activos de Hardware. Inventario y Control de Activos de Software. Gestión continua de vulnerabilidad. Uso controlado de los privilegios administrativos. Configuración segura para hardware y software en dispositivos móviles, computadoras portátiles, estaciones de trabajo y servidores. 6. Mantenimiento, seguimiento y análisis de registros de auditoria.
CIS Controls
Controles fundamentales 7. Protecciones de correo electrónico y navegador web. 8. Las defensas de malware. 9. Limitación y control de puertos, protocolos y servicios de red. 10. Capacidades de recuperación de datos. 11. Configuración segura para dispositivos de red, como firewall, enrutadores y conmutadores. 12. Defensa de limites. 13. Protección de datos. 14. Acceso controlado basado en la necesidad de saber. 15. Control de acceso inalámbrico. 16. Monitoreo y Control de Cuentas
CIS Controls
Controles organizacionales 17. Implementar un programa de capacitaci贸n concientizaci贸n sobre seguridad. 18. Software de aplicaci贸n de seguridad. 19. Respuesta y manejo de incidentes. 20. Pruebas de penetraci贸n y ejercicios del red team.
y
ยกGracias!