Normatividad

En Delete Technology nos regimos por la Ley de Protección de Datos Personales RGPD o PCI. Sabemos que no hay nada más inquietante para alguien responsable de la protección de datos que no saber lo que sucede y en qué situación se encuentra su información. Por ello, te respaldamos y nos apoyamos en la normatividad vigente. 

“Llegar a la etapa de saber lo que no sabe es el primer paso del viaje hacia una política integral de borrado de datos”.

GUÍA

Guía de cumplimiento sobre los requerimientos de borrado seguro de información

Payment Card Industry PCI-DSS

El Estándar de Seguridad de Datos de la Industria de Tarjetas de Crédito (PCI DSS) es un conjunto de estándares de seguridad diseñados para garantizar que todas las empresas que aceptan, procesan, almacenan o transmiten información de tarjetas de crédito mantenida en un entorno seguro.

Esto incluye a todos los bancos, proveedores de servicios financieros, minoristas, restaurantes, hoteles y proveedores de servicios en línea, entre otros.

pci

3.1 Mantenga el almacenamiento de datos del titular de la tarjeta al mínimo mediante la implementación de políticas, procedimientos y procesos de retención y eliminación de datos que incluyan al menos lo siguiente para el almacenamiento de datos del titular de la tarjeta (CHD):

  • Limitar la cantidad de almacenamiento de datos y el tiempo de retención a lo que se requiere para los requisitos legales, reglamentarios y/o empresariales
  • Requisitos específicos de retención para los datos del titular de la tarjeta
  • Procesos para la eliminación segura de datos cuando ya no sea necesario
  • Un proceso trimestral para identificar y eliminar de forma segura los datos almacenados del titular de la tarjeta que exceden la retención definida.

3.2 No almacene datos de autenticación confidenciales después de la autorización (incluso si están cifrados). Si se reciben datos de autenticación confidenciales, haga que todos los datos sean irrecuperables al finalizar el proceso de autorización.

Es permisible para los emisores y empresas que admiten la emisión de servicios almacenar datos de autenticación confidenciales si:

  • Hay una justificación empresarial y
  • Los datos se almacenan de forma segura

9.8.2 Renderizar los datos del titular de la tarjeta en soportes electrónicos irrecuperables para que no se puedan reconstruir los datos del titular de la tarjeta.

10.7 Conservar el historial de seguimiento de auditoría durante al menos un año, con un mínimo de tres meses inmediatamente disponibles para su análisis (por ejemplo, en línea, archivado o restaurable a partir de la copia de seguridad).

Las soluciones de eliminación de datos de Blancco van un paso más allá. Blancco permite borrar de forma segura y permanente los datos de una variedad de medios, incluidos PC, Servidores, y máquinas virtuales.
Las soluciones Blancco permiten procesos automatizados para la eliminación de datos de acuerdo con la política de retención.

Ejemplos específicos:

  • La eliminación de archivos: Los comerciantes pueden borrar los datos privados de las tarjetas de crédito de forma regular y continua para garantizar y demostrar el cumplimiento de los reportes de borrado.

Blancco File es compatible con Blancco Virtual Machine Eraser y LUN Eraser en entornos de máquinas virtuales, almacenamiento activo, hipervisor y contenedores en Open Stack.

Blancco Drive Eraser admite la eliminación completa de datos privados en discos duros y unidades USB una vez que esos dispositivos llegan al final de su vida útil.

ISO27001

ISO/IEC 27001 es un estándar para la seguridad de la información (Information technology - Security techniques - Information security management systems - Requirements) aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission.

Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad de la información (SGSI) según el conocido como “Ciclo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 27002, anteriormente conocida como ISO/IEC 17799, con orígenes en la norma BS 7799-2:2002, desarrollada por la entidad de normalización británica, la British Standards Institution (BSI).

iso 27001

A.11.2 Equipo

A.11.2.7 Eliminación o reutilización seguras de equipos

Control

Todos los elementos de los equipos que contengan soportes de almacenamiento se verificarán para garantizar que los datos confidenciales y el software con licencia se hayan eliminado o sobrescriba de forma segura antes de su eliminación o reutilización.

Blancco ofrece múltiples estándares de sobreescritura para garantizar un borrado 100%.

  • Nuestros productos facilitan la ejecución del borrado al poder realizar un borrado simultaneo de los discos duros y de manera automatizada.
  • Nuestras soluciones permiten el borrado a nivel físico, lógico y virtual.
  • Las evidencias que proporcionamos son 100% auditables.

ISO27040

El propósito de ISO / IEC 27040 es proporcionar una guía de seguridad para los sistemas y ecosistemas de almacenamiento, así como para la protección de datos en estos sistemas. Admite los conceptos generales especificados en ISO / IEC 27001.

Este estándar Internacional es relevante para los gerentes y el personal interesados en la gestión de riesgos de seguridad de la información dentro de una organización y, cuando corresponda, las partes externas que apoyan tales actividades. Los objetivos de este Estándar Internacional son:

  • Anunciar los riesgos.
  • Ayudar a las organizaciones a proteger mejor sus datos.
  • Proporcionar una base para diseñar y auditar controles de seguridad de almacenamiento.
iso 27001

ISO / IEC 27040: 2015 Tecnología de la información - Técnicas de seguridad - la seguridad de almacenamiento

  • Mantener el enfoque hacia posibles riesgos.

  • Ayudar a las organizaciones a asegurar sus datos de la mejor manera cuando sean almacenados.

  • Proporcionar una base para la auditoría, el diseño y la revisión de los controles de seguridad de almacenamiento. 

El fin de ciclo de vida de los equipos de almacenamiento tipo SAN y NAS representan un riesgo al ser retirados y realizar una disposición o decomiso inadecuado.

Con los productos y servicios de Delete Technology las organizaciones podrán mejorar sus procesos y garantizar el borrado seguro y mitigar el riesgo.

Los reportes generados por Blancco o los informes de servicios son una evidencia 100% auditable.

Reglamento General de Protección de Datos

Reglamento General de Protección de Datos

gdpr

El artículo 17 del RGPD, regula el derecho a la supresión de los datos personales (anteriormente denominado derecho de cancelación) y el conocido como "derecho al olvido". Además en la nueva LOPDGDD se reconocer en el artículo 15, entre otras menciones en diversos artículos de la norma.

  • a) los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo;

  • b) el interesado retire el consentimiento en que se basa el tratamiento de conformidad con el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), y este no se base en otro fundamento jurídico;

Este supuesto contempla el caso en el que el tratamiento se fundamente en el consentimiento previo del interesado al objeto de tratar tanto sus datos personales con carácter general como los datos personales categorizados como especiales.

  • c) el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 1, y no prevalezcan otros motivos legítimos para el tratamiento, o el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 2;

Anonimizar los datos o borrar de manera segura los datos requiere de procesos y la solución correcta de borrado seguro.

Ley de Transferencia y Responsabilidad de Seguro Médico (HIPAA)

Ley de Transferencia y Responsabilidad de Seguro Médico (HIPAA) de 1996 fue creada para proteger a millones de trabajadores y a miembros de sus familias en los Estados Unidos que padecen alguna afección médica. Estas personas a menudo presentaban dificultades para conseguir cobertura médica debido a una afección médica que tenían antes de intentar obtener un seguro médico (lo cual es referido como una condición preexistente).

De hecho, antes de que entraran en vigor las garantías importantes de la ley de atención médica, conocida como Ley de Atención Médica Accesible (ACA, siglas en inglés), muchas personas con problemas de salud graves no podían adquirir un seguro médico.

HIPAA-square-logo

¿Cuál es la mejor manera de destruir los discos duros de los ordenadores que contienen EPHI*?

  • Electronic Protected Health Information

Aunque las reglas de privacidad y seguridad del gobierno federal no especifican un método preferido de eliminación de la PHI, sí requieren que las organizaciones que están cubiertas por la ley tomen medidas "razonables" para salvaguardar la información desde el comienzo del proceso de eliminación hasta el final.

Los métodos aceptables de eliminación de discos duros y medios digitales incluyen la destrucción mediante trituración, incineración, fusión y pulverización, pero también deben tomarse precauciones adicionales con respecto a asegurarse de que se ha puesto en marcha un contrato para la obra.

"Para obtener información práctica sobre cómo manejar la eliminación de computadoras y medios digitales que contienen ePHI – consultar NIST 800-88, Guidelines for Media Sanitization" – Departamento de Salud y Servicios Humanos.

Anonimizar los datos o borrar de manera segura los datos requiere de procesos y la solución correcta de borrado seguro.

En Delete Technology ofrecemos ambas soluciones. Ya que anonimizar información en base de datos y borrar información en los equipos informáticos son dos procesos diferentes.

Con Blancco File podremos garantizar la eliminación cuando una persona realice la petición de cancelación.

NIST 800-88

NIST 800-88

nist

El borrado seguro de medios de almacenamiento se refiere a un proceso que hace que el acceso a los datos de destino en los medios sea inviable para un determinado nivel de esfuerzo. Esta guía ayudará a las organizaciones y a los propietarios de sistemas a tomar decisiones prácticas de desinfección basadas en la categorización de la confidencialidad de su información.

La desinfección de medios se refiere a un proceso que hace que el acceso a los datos de destino en los medios sea inviable para un determinado nivel de esfuerzo. Esta guía ayudará a las organizaciones y a los propietarios de sistemas a tomar decisiones prácticas de desinfección basadas en la categorización de la confidencialidad de su información.

LIMPIAR: aplica técnicas lógicas para eliminar los datos en todas las ubicaciones de almacenamiento direccionables por el usuario para protegerse contra técnicas simples de recuperación de datos no invasivas; normalmente se aplica a través de los comandos estándar de lectura y escritura en el dispositivo de almacenamiento, por ejemplo, reescribiendo con un nuevo valor o utilizando una opción de menú para restablecer el dispositivo al estado de fábrica (donde no se admite la reescritura).

PURGAR: aplica técnicas físicas o lógicas que hacen que la recuperación de datos de destino sea inviable mediante técnicas de laboratorio de última generación.


DESTRUIR: hace que la recuperación de datos objetivo sea inviable utilizando técnicas de laboratorio de última generación y da como resultado la posterior incapacidad de utilizar los medios para el almacenamiento de datos."

Blancco es compatible con los métodos NIST Clear y NIST Purge de desinfección de datos a través de sus soluciones de borrado de datos basadas en software.

Blancco Drive Eraser logra la desinfección a nivel de purga en SSD, incluyendo NVMes, y en discos duros en SANs, servidores, portátiles y PC.

INAI

INAI

INAI

Se trata de un manual con la descripción de herramientas técnicas para asegurar la eliminación total de datos e información contenida en dispositivos digitales, desde discos duros hasta accesos intangibles como la nube.

En Delete Technology ofrecemos ambas soluciones. Ya que anonimizar información en base de datos y borrar información en los equipos informáticos son dos procesos diferentes.

Con Blancco File podremos garantizar la eliminación cuando una persona realice la petición de cancelación.

Los reportes generados por Blancco son una evidencia 100% auditable. Los reportes están protegidos mediante una firma digital con una encriptación SHA-256.

Ley 1581 Colombia

Ley 1581 Colombia
colom

La Ley de Habeas Data otorga a los ciudadanos el derecho a conocer, actualizar, rectificar y suprimir los datos personales que se encuentran almacenados en bases de datos y archivos, mediante consultas y reclamos ante las entidades y la Superindustria.

En Delete Technology ofrecemos ambas soluciones. Ya que anonimizar información en base de datos y borrar información en los equipos informáticos son dos procesos diferentes.

Con Blancco File podremos garantizar la eliminación cuando una persona realice la petición de cancelación.

Los reportes generados por Blancco son una evidencia 100% auditable. Los reportes están protegidos mediante una firma digital con una encriptación SHA-256.

Ley de Protección de Datos de Brasil

Ley de Protección de Datos de Brasil

lgpdbrasil

La LGPD (Lei Geral de Proteção de Dados) es la ley federal de protección de datos de Brasil que regula todo tipo de tratamiento de datos personales en el país. ... La LGPD concede a los individuos dentro de Brasil nueve derechos exigibles sobre sus propios datos personales.

En Delete Technology ofrecemos ambas soluciones. Ya que anonimizar información en base de datos y borrar información en los equipos informáticos son dos procesos diferentes.

Con Blancco File podremos garantizar la eliminación cuando una persona realice la petición de cancelación.

Los reportes generados por Blancco son una evidencia 100% auditable. Los reportes están protegidos mediante una firma digital con una encriptación SHA-256.

Borrado seguro de datos con certificaciones y patentado para tu empresa

Si quieres conocer más sobre las soluciones o te interesa una cotización personalizada, ponte en contacto con nosotros.

Contactar a un asesor