seguritecnia 455

72 SEGURITECNIA Julio-Agosto 2018 Opinión Los organismos de acreditación “exa- minan” a los examinadores, es decir, a aquellos organismos que a su vez otor- gan una certificación o un sello de pro- tección de datos, por lo que las empre- sas deberían dar preeminencia a una acreditación oficial de los certificados y sellos de protección de datos acorde con el RGPD y no gastar innecesaria- mente dinero en certificados “ficticios”. Buena preparación Desde el 25 de mayo de 2018, si bien existen sobre el papel muchos párra- fos y artículos sobre la Ley de Protec- ción de Datos, su interpretación final en la implementación práctica aún no está nada clara y será discutida y definida in- tensamente por las autoridades super- visoras nacionales y europeas de pro- tección de datos, más allá del año 2018 –incluyendo una valoración final por el Tribunal de Justicia Europeo en los pun- tos controvertidos–. Por ese motivo, el mejor camino para las empresas en lo referente a videose- guridad no es confiar en las partes indi- viduales –posiblemente con certificados “ficticios”– de una solución de videose- guridad, sino disponer durante todo el proceso de tratamiento de datos de ví- deo de aquellas tecnologías y procedi- mientos relevantes para la protección y seguridad de datos que sean necesa- rias, para así poder reaccionar de manera flexible a las exigencias previsibles. S Certificados En principio, la Unión Europea fomenta la introducción de certificaciones en ma- teria de protección de datos o sellos de protección de datos, ya que estos deben incrementar la transparencia y facilitar a las empresas la prueba sobre el cumpli- miento del RGPD. Sin embargo, en este ámbito hay unos puntos importantes a tener en cuenta. Por un lado, a pesar del período transitorio de dos años, no han sido posibles certificaciones válidas an- tes del 25 de mayo de 2019 que garanti- cen una conformidad con los requisitos del RGPD. Por otro lado, no son posibles certificaciones para productos o servi- cios concretos, sino solo para procesos de tratamiento de datos. En definitiva, no es posible, por ejemplo, una cámara de vigilancia “conforme al RGPD”. Además, con respecto a los certifica- dos y a los sellos de protección de da- tos, hay que fijarse en que tanto el pro- pio organismo de certificación como el procedimiento de evaluación que ofrece para un proceso de tratamiento de datos estén acreditados oficialmente según el RGPD. De lo contrario, estos certificados no tienen ningún efecto le- gal con relación a dicho Reglamento. Un certificado acreditado “real” se re- conoce, por ejemplo, por el correspon- diente logo de un organismo de acre- ditación nacional oficial –como puede ser el Deutsche Akkreditierungsstelle en Alemania–. Protección de los datos En referencia a la seguridad de datos, el RGPD establece en su artículo 32 que se apliquen medidas técnicas y or- ganizativas apropiadas para garanti- zar un nivel de seguridad adecuado al riesgo. Para proteger datos confiden- ciales o personales de manipulación, pérdida o acceso no autorizado, el mó- dulo Dallmeier ofrece las siguientes funciones: 1. El “principio de los cuatro ojos”, opcio- nal, que exige dos contraseñas al ac- ceder a grabaciones. 2. La gestión de grupos de usuarios a través de AD/LDAP para el control de los derechos de acceso. 3. Un procedimiento de autenticación seguro según IEEE 802.1X para prote- ger la red de accesos no autorizados. 4. Un cifrado end to end con TLS 1.2/256 Bit AES para la protección de la trans- misión tanto de datos como de vídeo entre los sistemas actuales Dallmeier. 5. La definición del período de graba- ción para cada grupo de usuarios, no pudiendo consultarse imágenes ante- riores al período ajustado. 6. La detección y prevención fiable de intentos de conexión por ciberata- ques. Si se detectan repetidos intentos de conexión de una dirección IP des- conocida, esta es bloqueada automá- ticamente durante algún tiempo. 7. La posibilidad de emplear applian- ces de grabación como puerta de en- lace de seguridad del sistema de ví- deo. De esta manera, la red de vídeo y la red de producción son separadas, lo que evita el acceso no autorizado, por ejemplo, a través de cámaras en el ex- terior, y reduce la carga de la red. 8. El desarrollo de todas las soluciones de hardware , software y firmware en la propia compañía y, con ello, la imposi- bilidad de accesos ocultos por puertas traseras, además de sistemas operati- vos endurecidos. 9. Mecanismos de failover y redundan- cia contra pérdida de datos. 10. Certificación LGC para una preserva- ción de pruebas que cumple con to- dos los criterios para su admisibilidad ante los tribunales.