en mi curro nos hacen hacer esos típicos cursos de mierda de seguridad de no compartir passwords y blablabla y el mismo que nos dice que hagamos los cursos es el primero en poner passwords por correo sin cifrar XD.
#60 de donde sacas que no te estan suplantando cuando firman algo en tu nombre?
yo siempre que he ayudado a alguien a firmar algo electronicamente el ultimo paso, en el que ya se crea el documento firmado, nunca lo doy, le digo al usuario que lo de el, una vez hasta se me cabreo un señor, que le diera yo, y cuando se trata de poner el pin del certificado nunca lo pongo yo, aunque me lo digan, que les aviso de que no me lo digan pero claro, uno no es sordo xD, les hago escribirlo a ellos
de todas maneras cuando el familiar ( nieto sobrino lo que sea ) de esta mujer entra a la pagina web de la institucion con su usuario y contraseña la esta suplantando porque esta diciendo que es ella
#62 lo saco de que si yo les digo que hagan eso son mandatarios verbales y es algo legal y reconocido así que no puede ser delito.
Yo sigo sin pensar que la esté suplantando si es esta persona quien le dice que entre y busque X en una base de datos. No creo que pudiera llegar a mucho si denuncian
Me había hecho a la idea de que era el sobrino quien se quería conectar a mirar algo en la base de datos.
Pero supongo que es más probable que el profesor le haya pedido al sobrino que le conecte a la vpn porque el no sabe.
#63 en algunas empresa esta en las clausulas incluso acceder desde fuera de un equipo proporcionado por la empresa por seguridad, es decir imaginate que se conecta esa persona sin antivirus, con un keylogger... etc porque tu le has dejado tus credenciales y termina en el hacker de turno.
Caso ficticio imaginate que es una base de datos medica y entra a tu historial en su nombre sin ser medico, ¿te parece bien que otra persona lo vea, que no tiene ninguna relación ni permiso para verlo? (en el log si no es biometrico a todos casos se presupone que esta esta accediendo la persona original, no un tercero)
#65 no me parece bien pero no creo que sea delito. Irá contra la normativa interna y podrá conllevar un despido disciplinario por ir contra la buena fe que se exige en las relaciones laborales pero no creo que sea suplantar la identidad de nadie.
Suplantar la identidad es cuando te haces pasar por otra persona. Si esa persona te da su contraseña no estás suplantando estás entrando con credenciales que te han dado
#64 si asi es, ella le da el usuario y password para que el mire en su propio ordenador en su ( supongo ) propia casa sus cosas en la base de datos a la qual entiendo que no tiene acceso si no es a traves de mi organizacion
#20garlor:por cierto, alguien sabe si el simple hecho de decirle el usuario y password es delito?, o solo si lo usa la otra persona pasa a ser delito?
No sé si te lo han respondido ya. En cualquier caso, si con ese usuario y password tiene acceso a datos personales de terceras personas, es delito. Delito que será más o menos grave dependiendo de la naturaliza de dichos datos personales. Da igual que no llegue a utilizarlo.
#73 Pues entonces va contra las leyes de protección de datos, incluido el RGPD (que es el reglamento Europeo). Es responsable tanto la persona que cede sus credenciales como la persona que esté notificada como responsable del sistema. Con esto último me refiero a que al almacenar datos personales, existe la obligación de comunicarle a la Agencia Española de Protección de Datos (AEPD) los protocolos para proteger dichos datos, incluyendo la naturaleza de la información que se almacena y el responsable de asegurarse que se cumple dicho protocolo (que seguramente será el jefe de tu departamento).
Para que te hagas una idea, incluso si te hackean y eres consciente de ello, estás obligado a comunicárselo a la AEPD. Y las multas pueden ser chulas. Dependiendo del tipo de información que se almacene, pueden ser tan solo 900€ o pueden ser 600000€. Obviamente, las sanciones más altas son por almacenar datos médicos... y creo recordar que también referentes a cualquier información de carácter sexual. Algo tan "tonto" como almacenar que un alumno tiene alergia a algo, ya entra en esa categoría.
Por supuesto, podría ser que la AEPD no haya sido informada de que guardáis datos personales, lo cual también es ilegal, pero sobretodo, no te protegería contra las posibles sanciones. De hecho lo probable es que en caso de haber problemas, conllevase sanciones aún más altas porque estás obligado a implantar esta clase de protocolos.
Así que sí, tener acceso a la información de los alumnos, aunque no lo utilice nunca, es sancionable. Evidentemente si la información es el número de teléfono, la dirección y el DNI, la multa es más leve, pero sigue estando allí. Lo que pasa es que, también evidentemente, como poco habrá información académica de cada alumno, así que no sería la categoría más baja. Desde luego tampoco la más alta, pero no sería la más baja.
#71 Delito será si está penado en el CP, por revelación de secretos o algo similar y no estoy seguro de que entre en el tipo.
Por incumplimiento de RGPD y LOPDGDD, como mucho el responsable de los datos (en este caso la universidad) será el único que pueda enfrentarse a la sanción económica de la AEPD, aunque la conducta la haya realizado el profesor.
#74 No exactamente. No hace falta comunicar a la AEPD ni las medidas ni persona responsable, ahora se mantiene el RAT de manera interna (o se publica en otros casos) y se comunican solo las brechas y las designaciones del DPD. Notificar los ficheros y los tratamientos terminó en 2018. Las brechas de todos modos, no se comunican en todo caso, sino solo cuando no pueda demostrarse que es improbable que suponga un riesgo para los derechos de las personas. Por "almacenar" no van a sancionar a nadie.
Mezclas muchas cosas.
es muy típico esto que cuentas y tampoco me parece tan grave, peor sería si siendo responsable de contratación te indicaran quien se queda la obra y tuvieras que cuadrar todo el papeleo (es un arte)
#75 Creo que tienes la info al revés eh xD
Toda brecha se tiene que comunicar al organismo regulador de tu país en un período de tiempo, si no la sanción es mayor.
Si que no hace falta comunicar todo lo que tienes, pero sí que se te obliga a ser consciente de que toda información de personas que puedas identificar tienes que protegerla.
Con lo que no tienes que decirles qué vas a guardar, pero si pasa algo sí tienes que decir qué tenias.
La sanción depende de eso xD
#78 Lo tengo muy claro xd
Artículo 33
Notificación de una violación de la seguridad de los datos personales a la autoridad de control
- En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.
Y claro que tienes que ser consciente de la información que tienes, eso es el RAT interno. Si pasa algo tienes que decir qué datos se han visto afectados y de qué manera. Por simplificar: https://www.aepd.es/es/derechos-y-deberes/cumple-tus-deberes/medidas-de-cumplimiento/brechas-de-datos-personales-notificacion
El artículo 33 del RGPD impone a los responsables de un tratamiento de datos personales la obligación de notificar a la autoridad de control competente las brechas de datos personales cuando sea probable que constituyan un riesgo para los derechos y libertades de las personas.
Si llevas tiempo trabajando en soporte a usuarios lo extraño es que no te haya pasado esto mil veces antes. Es el día a día, sobre todo con usuarios de mas de 55 años. Porque se juntan la ignorancia con el atrevimiento que les da la experiencia. Agua y aceite.
Sonará muy padefo pero yo en tu lugar no le reprocharía nada, se lo comentaría de manera informal a mi superior y vía. Porque como le busques un problema, no va a entender nada de protección de datos ni mierdas, entenderá que has ido a por él. Y él te lo va a buscar multiplicado por 7 a ti.
#79 entonces lo que estamos hablando, si ya habido breach de PII tienes que reportarlo xD
P.d. cuando hablo de brecha hablo de brecha a la info...que es lo que a mi, en mi caso, me preocupa, el resto es sysops y a ver hasta donde xD
#82 No, si hay brecha tienes que evaluar el riesgo y luego si procede, notificar. También depende mucho del tipo de brecha, confidencialidad, integridad o disponibilidad.
el delegado de proteccion de datos se ha sacado las pulgas de encima, ha dicho que es un tema de seguridad y no de proteccion de datos y ala, como si la persona a la que le han facilitado el usuario/pass no hubiera tenido la posibilidad de acceder a los datos personales de nadie
bueno, yo he hecho lo que tenia que hacer
y si, veo muchas cosas con frequencia, pero esto de que un usuario te diga abiertamente que le ha dado sus credenciales a un 3º no me habia pasado, como mucho a veces me las dan a mi si no los paro a tiempo
