18 octubre 2017

Oracle y Principales Regulaciones de datos en España (Parte I)


Ley Orgánica de Protección de Datos (España)

Tiene por objeto garantizar y proteger, en lo concerniente al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente su honor e intimidad personal y familiar. (Art. 1 LOPD).
Existen leyes similares en otros países, a los que se pueden aplicar estas políticas:

  • México: LFPDPPP
  • Colombia: Ley estatutaria 1581

Esquema Nacional de Seguridad (España)

Su finalidad es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos.

Los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales,sin interrupciones o modificaciones fuera de control, y sin que la información pueda llegar al conocimiento de personas no autorizadas.





Nivel básico

Artículo 91. Control de acceso. (Nivel básico)

  • Los usuarios tendrán acceso únicamente a aquellos recursos que necesiten para el desarrollo de sus funciones.
  • El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados.

Artículo 93. Identificación y autenticación. (Nivel básico)

  • …adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios.
  • …establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.
  • …establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas…

Artículo 94. Copias de respaldo y recuperación. (Nivel básico)

  • Las pruebas anteriores a la implantación o modificación de los sistemas de información que traten ficheros reales no se realizará con datos reales, …

Nivel Alto

Artículo 101. Gestión y distribución de soportes. (Nivel alto)

  • La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos…

Artículo 103. Registro de accesos (Nivel alto)

  • De cada intento de acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.
  • En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido.

Artículo 104. Telecomunicaciones. (Nivel alto)

  •  …la transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datoso utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.


Ley Orgánica de Protección de Datos

Requerimientos vs Oracle


Esquema Nacional de Seguridad

Requerimientos vs Oracle




Securización de BBDD Remotas

Principales problemáticas de seguridad en las Sedes Remotas
  • Acceso a dispositivos físicos
    • Evitar posibles robos de información
  • Acceso a los datos
    • Evitar fugas/robos
    • Segregar funciones de los Usuarios Privilegiados
  • Registro y control
    • Todo lo que pasan en las BBDD quedará registrado
  • Cumplimiento LOPD-ENS
  • Escenarios similares a los productivos

Soluciones seleccionadas e implantadas
  • Oracle Data Masking and Subsetting Pack
    • Reemplazo de la información sensible de los entornos productivos, de forma que datos similares a los que se manejan por el usuario final, puedan ser utilizados de forma segura en otros entornos.
  • Oracle Advance Security
    • Cifrado de datos, gestión de claves multinivel, autenticación fuerte contra la BBDD.
  • Oracle Database Vault
    • Separación de funciones y dominios de seguridad; Establecimiento de controles robustos sobre qué puede hacer quién dentro de la base de datos.
  • Oracle Audit Vault and Database Firewall
    • Recopilación de datos de actividad en las BBDD, firewall de BBDD para monitorear y bloquear sentencias SQL.
Continua en la segunda parte de este artículo, aquí.

No hay comentarios:

Publicar un comentario

Por favor deja tu comentario, es valioso.