Modelo para la implementación de la técnica de Tokenización como mecanismo de protección de datos personales

Texto completo

(1)MODELO PARA LA IMPLEMENTACION DE LA TECNICA DE TOKENIZACION COMO MECANISMO DE PROTECCION DE DATOS PERSONALES. JEISSON GERARDO BARRERO MOLINA INGRY NATHALY SALAMANCA RATIVA. UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS FACULTAD TECNOLÓGICA INGENIERIA EN TELEMATICA BOGOTÁ 2018. 1.

(2) MODELO PARA LA IMPLEMENTACION DE LA TECNICA DE TOKENIZACION COMO MECANISMO DE PROTECCION DE DATOS PERSONALES. JEISSON GERARDO BARRERO MOLINA 20162678049 INGRY NATHALY SALAMANCA RATIVA 20162678048. TUTOR: JAIRO HERNANDEZ GUTIERREZ. UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS FACULTAD TECNOLÓGICA INGENIERIA EN TELEMATICA BOGOTÁ 2018. 2.

(3) NOTAS DE ACEPTACIÓN. _____________________________ _____________________________ _____________________________. _____________________________ TUTOR. ____________________________ JURADO. Bogotá, ________ 2019. 3.

(4) TABLA DE CONTENIDO INTRODUCCIÓN .................................................................................................................... 12 1. 2. FASE DEFINICIÓN, PLANEACIÓN Y ORGANIZACIÓN ...................................................... 13 1.1. Título del proyecto ................................................................................................. 13. 1.2. Planteamiento del problema ................................................................................. 13. 1.3. Formulación del problema ..................................................................................... 14. 1.4. Objetivos ................................................................................................................ 14. 1.4.1. Objetivo general ............................................................................................. 14. 1.4.2. Objetivos Específicos ...................................................................................... 15. 1.5. Solución tecnológica .............................................................................................. 15. 1.6. Alcance y delimitaciones........................................................................................ 16. 1.7. Marco de referencia .............................................................................................. 16. 1.7.1. Marco histórico............................................................................................... 16. 1.7.2. Marco teórico ................................................................................................. 18. 1.7.3. Marco conceptual ........................................................................................... 25. 1.7.4. Marco legal ..................................................................................................... 34. 1.8. Factibilidad Económica .......................................................................................... 35. 1.9. Cronograma ........................................................................................................... 37. ANÁLISIS DE LA SITUACION ACTUAL ............................................................................. 38 2.1. Registro Nacional de Bases de Datos ..................................................................... 40. 2.1.1. ¿Qué es el RNBD? ........................................................................................... 41. 4.

(5) 2.1.2. ¿Para qué sirve el RNDB? ............................................................................... 42. 2.1.3. ¿A quién beneficia? ........................................................................................ 42. 2.1.4. ¿Qué bases de datos se debe registrar? ........................................................ 42. 2.1.5. ¿Quiénes están obligados a llevar a cabo el RNBD? ...................................... 43. 2.1.6. ¿Qué pasa si no lo hago? ................................................................................ 43. 2.1.7. Consejos para el registro ................................................................................ 43. 2.2. Habeas data financiero .......................................................................................... 44. 2.3. ¿Cuándo se vulneran los derechos asociados a la Protección de Datos? ............. 45. 2.4. ¿Cuáles datos personales requieren autorización previa del titular y cuáles no? 45. 2.5. Sanciones de protección de datos personales ...................................................... 45. 3. DESCRIPCIÓN DEL MODELO PROPUESTO DE TOKENIZACIÓN PARA LA PROTECCION. DE DATOS PERSONALES........................................................................................................ 47 3.1. 3.1.1. Base de datos maestra ................................................................................... 51. 3.1.2. Tokenización ................................................................................................... 59. 3.1.3. Interfaces ........................................................................................................ 60. 3.1.4. Proceso de tokenización ................................................................................. 63. 3.2 4. Componentes del modelo ..................................................................................... 47. Clasificación de los datos personales .................................................................... 65. PRUEBA DEL MODELO ................................................................................................... 68 4.1. Estructura de la organización ................................................................................ 68. 4.2. Característica de la red actual ............................................................................... 69. 4.2.1. Descripción de equipos .................................................................................. 72. 5.

(6) 4.3. Definición Entradas y Salidas ................................................................................. 77. 4.3.1. Interfaces internas .......................................................................................... 77. 4.3.2. Interfaces externas ......................................................................................... 81. 4.3.3. Identificación de activos, procesos e interfaces............................................. 85. 4.4. Definir Tecnología .................................................................................................. 86. 4.4.1. Base de datos maestra ................................................................................... 86. 4.4.2. Servidor de aplicaciones ................................................................................. 86. 4.4.3. Algoritmo de encriptación .............................................................................. 87. 4.4.4. Algoritmo de tokenización ............................................................................. 91. 4.4.5. Registro de acceso .......................................................................................... 92. 4.5. Implementación Infraestructura............................................................................ 92. 4.6. Pruebas del modelo propuesto ............................................................................. 93. 4.6.1. Impacto en tiempos de respuesta .................................................................. 93. 4.6.2. Validación de seguridad ................................................................................. 96. 4.7. Análisis de resultados ............................................................................................ 96. CONCLUSIONES .................................................................................................................... 98 RECOMENDACIONES .......................................................................................................... 100 BIBLIOGRAFÍA ..................................................................................................................... 101 ANEXOS ............................................................................................................................... 106 Anexo 1 ........................................................................................................................... 106. 6.

(7) LISTA DE TABLAS Tabla 1 Factibilidad Económica, costos ................................................................................ 36 Tabla 2 Porcentaje Disponibilidad ........................................................................................ 57 Tabla 7 Características Juniper SSG 140 ............................................................................... 72 Tabla 8 Características Fotigate 300D .................................................................................. 73 Tabla 9 Características Fortiaut 200D................................................................................... 74 Tabla 10 Características DELL PowerConnect 6428 ............................................................. 75 Tabla 11 Características DELL PowerConnect 2708 ............................................................. 76 Tabla 12 Especificaciones servidor DMZ .............................................................................. 76 Tabla 3 Clasificación de datos personales ............................................................................ 82 Tabla 4 Relación de tablas afectadas y cantidad de registros .............................................. 83 Tabla 5 Relación de tablas afectadas y cantidad de registros .............................................. 84 Tabla 6 Cantidad de columnas afectadas por tabla ............................................................. 84. 7.

(8) LISTA DE IMÁGENES Ilustración 1 Ejemplo de Tokenización ................................................................................. 19 Ilustración 2 Switch conectado a una red ............................................................................ 31 Ilustración 3 Ejecución de función hash ............................................................................... 32 Ilustración 4 Definición de SLA ............................................................................................. 33 Ilustración 5 Cronograma actividades .................................................................................. 37 Ilustración 6 Modelo Actual Organizaciones ........................................................................ 47 Ilustración 7 Modelo de Tokenización.................................................................................. 49 Ilustración 8 Diagrama de seguridad Tokenización .............................................................. 52 Ilustración 9 Funcionamiento cifrado asimétrico................................................................. 53 Ilustración 10 Funcionamiento cifrado simétrico ................................................................ 53 Ilustración 11 Tipos de token ............................................................................................... 60 Ilustración 12 Modelo Tokenización .................................................................................... 61 Ilustración 13 Servicios web REST y SOAP ............................................................................ 62 Ilustración 26 Estructura organizacional. ............................................................................. 69 Ilustración 25 Actual red de datos........................................................................................ 71 Ilustración 14 Arquitectura de la Solución ALLIENSOFT_MAILPOINT .................................. 78 Ilustración 15 Arquitectura software personalizado acciones y valores ............................. 79 Ilustración 16 Arquitectura Corporates................................................................................ 80 Ilustración 17 Arquitectura AML .......................................................................................... 81 Ilustración 18 Diagrama E-R DataVault ................................................................................ 86. 8.

(9) Ilustración 19 Diagrama de despliegue tokenización ........................................................... 87 Ilustración 20 Oracle Wallet Manager.................................................................................. 88 Ilustración 21 Configuración clave wallet............................................................................. 89 Ilustración 22 Detalle certificado wallet ............................................................................... 90 Ilustración 23 Inicio de TDE en columna especificada ......................................................... 90 Ilustración 24 Explicación Algoritmo FPT ............................................................................. 92 Ilustración 27 Tiempos de respuesta operación consulta de clientes Mail Point ................ 94 Ilustración 28 Tiempos de respuesta operación creación de cliente Acciones y Valores .... 94 Ilustración 29 Tiempos de respuesta operación creación cuenta Anti-Money Laundry ..... 95 Ilustración 30 Tiempos de respuesta operación creación cliente Corporate ...................... 95 Ilustración 31 Esquema entidad relacion base de datos Acciones .................................... 106. 9.

(10) RESUMEN En este documento monográfico se establece la guía metodológica para planificar e implementar el sistema de tokenización, como mecanismo de protección de datos personales, descrita en la ley 1581 de 2012. El objetivo es establecer la forma correcta de planteamiento del modelo, para ello se inició con el análisis de la situación actual, para identificar cuáles son las aplicaciones que gestionan datos personales, en donde y como se almacenan, nivel de impacto con la implementación del modelo. Ya establecida la situación actual se realiza el análisis de clasificación de los diferentes tipos de información, separación de responsabilidad para asegurarla y minimizar el impacto en el desarrollo normal de las actividades de la organización, sin afectar el modelo del negocio y reducir al mínimo la posibilidad de hurto de información. Para la implementación del principio de tokenización se tomó como base el modelo implementado en la protección de las transacciones de tarjeta de crédito, descrita en PCIDSS y partiendo de este se realiza el planteamiento de componentes necesarios y sus características para una efectiva implementación del modelo dentro de cualquier organización, basándose en la legislación vigente y en los algoritmos más usados en la protección de información. En la última parte del trabajo se encuentra descrito el proceso de implementación de una prueba piloto realizada para evaluar el impacto, nivel de dificultad y eficiencia del modelo aplicado a una organización de índole financiero que tiene la obligación de cumplir con la ley de protección de datos personales y busca aplicar el método más eficiente de menor costo financiero y bajo impacto operativo en su implementación.. 10.

(11) ABSTRACT This monographic document establishes the guide to plan and implement the tokenization system, as a mechanism of protection of personal data, described in law 1581 of 2012. We begin with the analysis of the current situation, to identify which are the applications that administer personal data, where and how they are stored, level of impact with the implementation of the model. Once the current situation has been established, the analysis begins to ensure information, separation of responsibility to ensure it and minimize the impact on the normal development of the organization's activities, without affecting the business model and minimizing the possibility of theft of information. For the implementation of the tokenization principle, the model implemented in the protection of credit card transactions, described in PCI-DSS, was taken as a basis and, according to this, we made the necessary components and their characteristics for an effective implementation of the model within any organization, based on current legislation and algorithms most used in the protection of information. In the last part of the work is described the process of implementing a pilot test performed to assess the impact, level of difficulty and efficiency of the model applied to a financial organization that has the obligation to comply with the data protection law personal and seeks to apply the most efficient method of lower financial cost and low operational impact in its implementation.. 11.

(12) INTRODUCCIÓN. Este trabajo tiene el objetivo de plantear un modelo basado en la técnica de tokenización dentro del marco de la ley colombiana 1581 de 2012 de protección de datos personales conocida también como habeas data, está dirigido a empresas colombiana que requieran almacenar, transmitir o procesar información personal y requieran asegurar la información almacenada en sus bases de datos para evitar que se realicen actividades ilícitas o fraudulentas con la información de sus clientes. La base usada es el estándar PCI DSS, el Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (Payment Card Industry Data Security Standard) que busca la protección de datos de tarjetas crédito y débito, este modelo tiene como finalidad brindar un enfoque que satisfaga los requerimientos de la norma colombiana y pueda ser aplicable sin importar la actividad o naturaleza de la empresa, se describirán los componentes necesarios para la implementación y cada una de las fases necesarias para realizar la identificación, clasificación de la información a proteger y de los componentes de red necesarios para su correcto funcionamiento. Para el desarrollo de este trabajo se utilizó el ciclo PHVA, para la planificación se establecieron tareas, como la verificación de interfaces (Aplicaciones) que tienen acceso a la información tanto internas como externas, identificar y valorar la información dependiendo de los grupos establecidos por la Superintendencia de Industria y Comercio. Después de clasificar la información se define la tecnología con la cual se encripta para su protección, la forma en que se genera el token, el tiempo de vida de este, la forma como se almacena, los requisitos físicos del servidor para almacenar, proteger y aislar el modelo de tokenización de otros sistemas de la organización.. 12.

(13) 1 FASE DEFINICIÓN, PLANEACIÓN Y ORGANIZACIÓN 1.1 Título del proyecto MODELO PARA LA IMPLEMENTACIÓN DE LA TÉCNICA DE TOKENIZACIÓN COMO MECANISMO DE PROTECCIÓN DE DATOS PERSONALES. 1.2 Planteamiento del problema Actualmente el almacenamiento de datos personales en Colombia es regido por la ley 1581 de 2012 y contempla que la seguridad de la información es responsabilidad de la organización, siendo así la empresa debe contar con la infraestructura tecnológica que proteja los datos personales almacenados que puedan llevar a la identificación de la persona en caso de ser sustraídos, no todas las empresas tienen claridad acerca de la sensibilidad de los datos que almacena y procesa. Los datos personales se han convertido en el principal objetivo de los delincuentes informáticos, ya se han visto casos a nivel mundial donde el robo de información llega a ser de millones de cuentas como Avanti Markets con 1.6 millones de cuentas y donde llegaron a obtener la información biométrica o Equifax con 145.5 millones de cuentas y donde también obtuvieron información de las tarjetas de crédito de los clientes (Karpesky 2017, en línea), estos casos se presentaron por fallos de configuración, vulnerabilidades no halladas a tiempo o falta de parches de seguridad y por supuesto la información no se encontraba almacenada con algún tipo de ocultamiento. Ya que la información personal es un objeto valioso y es fácil de vender a empresas que tienen como objetivo la divulgación de publicidad o estudio de posibles mercados, en los peores casos pueden robar la identidad para hacer robos o estafas, el desafío más grande es salvaguardar toda la información sensible que tengan almacenada ya que los riesgos y técnicas para llevar a cabo el robo de información es diversa, cada día evoluciona para sobrepasar los nuevos controles implementados, pero aunque se posea una infraestructura de seguridad robusta, siempre va a estar presente el factor humano que es más difícil de controlar, no todas las personas están vinculadas al mundo informático de la misma forma, causando un riesgo que siempre estará presente, un acto delictivo dirigido a una organización, pueden generar impactos económicos y de reputación ante el sector en el que se desenvuelve.. 13.

(14) Una solución factible para las organizaciones es la tokenización de datos personales, ya que transmite la información sensible una sola vez, la cual se relaciona a un testigo (token por su traducción en inglés) que hace referencia a los datos que se almacenan de forma centralizada con altas medidas de seguridad y usando técnicas de ocultamiento de alta complejidad, que aseguran la integridad de la información durante el almacenamiento, procesamiento, transmisión y mantienen un registro de accesos. En este documento se especifican las diferentes formas de ocultamiento de la información sensible y las ventajas que presenta la aplicación de la técnica de tokenización en cualquier organización, sin importar su naturaleza y cuenten con la factibilidad económica para la implementación de la infraestructura requerida; la finalidad es establecer si es posibles disminuir los costos de seguridad perimetral, maximizar la protección de los datos personales sin afectar el rendimiento de las interfaces y estos factores se medirán con una prueba piloto en una organización de ámbito financiero.. 1.3 Formulación del problema El congreso de la Republica de Colombia, ha decretado la ley 1581 de Protección de Datos Personales, el cual dicta en su principio de seguridad, que toda la información almacenada deberá manejar las medidas necesarias para otorgar seguridad; evitando adulteración, perdida, uso o acceso no autorizado. Por lo tanto, se hace necesario cuestionarse ¿Con el modelo actual de almacenamiento de datos, se garantiza que la información no pueda ser adulterada?, ¿En caso de acceso no autorizado, pueden hacer extracción y/o manipulación de la información?. 1.4 1.4.1. Objetivos Objetivo general. Formular un modelo para el cumplimiento de la ley de protección de datos personales en organizaciones basado en el uso de tokens, que evite la pérdida y uso ilegal de información personal privada que esté almacenada en sus sistemas. 14.

(15) 1.4.2 •. Objetivos Específicos Analizar la situación actual de la seguridad usada por las organizaciones en Colombia para el cumplimiento de protección de datos personales. •. Establecer el procedimiento para realizar la clasificación de la información y los requerimientos necesarios por la organización para adoptar el modelo. •. Formular una propuesta que permita asegurar la información de bases de datos relacionales con token. •. Realizar pruebas para verificar, efectividad, seguridad y rendimiento del modelo en la organización Alliance Enterprise. •. Validar el modelo propuesto analizando los resultados de la prueba piloto realizada en la organización Alliance Enterprise. 1.5 Solución tecnológica Después de realizar un análisis de las necesidades que tiene la protección de datos personales. se seleccionó la técnica de tokenización. Como. primer. paso. se. debe. identificar cuáles son los datos personales sensibles que se almacenan o usan y catalogarlos en los diferentes niveles establecidos en la ley 1581, a estos se les asocia un token que no conserva. ninguna relación con. los. datos. de. origen, la generación del. token. se. realiza mediante técnicas hash de una sola vía y debe garantizar que la clave generada sea única por cada solicitud e imposible obtener el valor original de cómo se creó, al ser un paso esencial debe estar vigilada para evitar solicitudes no autorizadas. El token será el único dato que se transmite libremente por las diferentes interfaces de la organización ya que es un dato no sensible y no presenta riesgo alguno de identificación de la información que se está protegiendo. Por otra parte, el dato protegido permanece en confinamiento, limitando el acceso e identificando las interfaces de comunicación que corresponden a todos los componentes internos y externos que hacen uso de la información, como lo son Web Services, aplicaciones con conexiones directas y/o API. Cifrar la información que se almacena con algoritmos robustos garantiza que no sea posible el robo de información y se gestionan copias de seguridad de la información, para mantenerlos como contingencia ante cualquier eventualidad.. 15.

(16) Para obtener el valor al que está asociado al token, denominado fase de alimentación se valida si está en la lista de interfaces habilitadas para la obtención del dato. Con este principio se propone dar cumplimiento al principio de seguridad, el cual está estipulado en la ley de protección de datos personales, que dice "Se debe garantizar mediante técnicas informáticas la integridad de la información".. 1.6 Alcance y delimitaciones El modelo propuesto en este trabajo se desarrolla en el marco establecido por la ley 1581 de 2012, en su principio de seguridad establece el aseguramiento mediante técnicas informáticas, humanas y administrativas necesarias para otorgar seguridad a los registros evitando su adulteración, perdida, uso o acceso no autorizado. Y se establece para empresas colombianas a las que aplique el cumplimiento de esta normativa. La técnica tokenización aplicada a la protección de datos personales como medida de protección en caso de robo de información para uso en actividades delictivas es el objetivo del modelo propuesto y se busca aplicar el menor impacto posible sobre la operación de la organización. El modelo describe los componentes necesarios para el cumplimiento de los principios de seguridad que se dicta en la ley, no impone herramientas de hardware o software para su ejecución.. 1.7 Marco de referencia 1.7.1. Marco histórico. Con el crecimiento de transacciones electrónicas (Revista Dinero, 2018), por ejemplo compras por internet que se ha evidenciado en los últimos años también han aparecido diferentes formas de ataques informáticos o ciberataques que han provocado que se usen medidas de seguridad cada vez más fuertes para la protección de la información, bajo estas necesidades han aparecido tecnologías dedicadas a la protección de sistemas. 16.

(17) computacionales, bajo el concepto de proteger datos reales de la exposición a sistemas externos, desde entonces han evolucionado y han sido aplicados en distintas áreas como la protección de datos personales donde la privacidad de la información se ha convertido en un derecho para los usuarios y una obligación para las organizaciones en todo el mundo. Ha sido tan grande el uso de datos personales en sistemas informáticos que se puede almacenar información pública y privada hasta datos biométricos que permitan la identificación de una persona lo que ha provocado el intercambio de información de bases de datos para fines como el estudio de mercados y perfiles de compradores, con esto se ha generado incentivos económicos lo cual promueve la obtención de estos datos de forma furtiva debido a esto en diferentes países se ha llegado a legislar para que se regule su manejo y control en las organizaciones que almacenen o procesen este tipo de información, existen dos vertientes principales entorno a la protección de los datos personales (Cervera Navas, 2010) El modelo europeo busca proteger la información y la propiedad de esta, en aras de conservar la honorabilidad de la persona aun cuando ésta hubiese fallecido, la motivación de este modelo tiene base en los derechos humanos de los individuos. El modelo estadounidense pretende proteger la información de las personas con el concepto de derecho a la privacidad, el cual puede extinguirse con la muerte del sujeto, el modelo surge derivado de motivos comerciales ya que las empresas utilizaban de manera indiscriminada esa información (Rebollo Delgado & Saltor). Recientemente se implantó en la unión europea GDPR General Data Protection Regulation (Unión Europea, 2016), en español Reglamento General de protección de datos, que empezó a regir desde el 25 de mayo del 2018, su objetivo es proteger los datos personales y su libre circulación, contó con un tiempo de dos años desde su aprobación hasta su implantación (Agencia Española Proteccion Datos, 2019). Ya que las empresas deben adecuar su infraestructura tecnológica, seguridad perimetral, software de protección como firewalls también con la capacitación de sus empleados y sensibilización a clientes, este proceso conlleva costos adicionales que no todas las organizaciones pueden cumplir ya sea por su tipo de actividad o inversión económica entre otros factores, por lo cual la implantación del uso de tokenización para salvaguardar la información sensible de sus clientes representa una opción de bajo impacto para la operación diaria de la organización, que minimiza los riesgos y conlleva menores costos.. 17.

(18) La tokenización se ha venido implementando en varias áreas, pero la más reconocida es el Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago, PCI -DSS por sus siglas en inglés (Payment Card Industry Data Security Standard) (Acosta D. , 2018), fue desarrollado por los comités de las compañías de tarjeta crédito y débito más importantes, es una guía de seguridad para las compañías que almacenan, procesan o transmiten información de las tarjetas y sus titulares con el fin de evitar fraudes. El enfoque de tokenización para la protección de datos personales en el cual se hace uso de un token generado aleatoriamente antes del procesamiento de los datos, brinda a las organizaciones la ventaja de almacenar y conservar localmente los datos únicamente por ellos mismos además se considera más eficiente que la encriptación debido a que no existe relación matemática con los datos originales y se considera la mejor opción en el uso de datos estructurados dentro de una base de datos (Acosta D. , 2018).. 1.7.2. Marco teórico. 1. Tokenización La tokenización es un concepto bastante sencillo pero efectivo. Consiste en el remplazo de un dato confidencial por otro que no lo es, pero que garantiza la misma operatividad. Para explicar este concepto, se puede pensar en las fichas de un casino. Para jugar, se debe cambiar dinero real por fichas, las cuales son válidas únicamente en ese casino en particular. Si alguien las roba, su campo de acción estará limitado ya que no las podrá utilizar en otros casinos, restringiendo al atacante y desmotivando su delito, ya que la ganancia será menos efectiva que si fuera dinero real (Acosta D. , 2018). Un sistema de tokenización funciona de la siguiente manera: •. El sistema de tokenización recibe el dato confidencial [D]: En función de las interfaces del aplicativo, el dato confidencial es obtenido desde un formulario, importado en un proceso batch, ingresado por un usuario o cargado desde otro aplicativo.. •. El dato confidencial [D] es almacenado de forma centralizada: En este paso, el dato confidencial es almacenado en una ubicación centralizada (una base de datos, por. 18.

(19) ejemplo) y protegido empleando cifrado robusto. Esta ubicación recibe el nombre de “Data Vault“. •. El sistema de tokenización genera un token único [T] y lo asocia al dato confidencial almacenado previamente: La siguiente acción consiste en la generación de un token (o “testigo” en español) que no es más que un dato no confidencial que servirá de “alias” del dato confidencial [C] en procesos subsiguientes. Este token almacenado en el “Data Vault” y asociado de forma inequívoca al dato confidencial al cual representa, manteniendo siempre una tabla referencial dual [C]->[T].. •. El token es puesto en el flujo operativo del aplicativo, remplazando en todas las operaciones al dato confidencial [C] al cual representa (Acosta D. E., 2010).. Ilustración 1 Ejemplo de Tokenización Fuente (Acosta D. , 2018). 2. Principio de seguridad La información sujeta a Tratamiento por el responsable del Tratamiento o Encargado del Tratamiento a que se refiere la presente ley, se deberá manejar con las medidas técnicas,. 19.

(20) humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento (EL CONGRESO DE COLOMBIA, 2012) 3. Cifrado (AO Kaspersky Lab, 2018) En el mundo de la informática, el cifrado es la conversión de datos de un formato legible a un formato codificado, que solo se pueden leer o procesar después de haberlos descifrado. El cifrado es el elemento fundamental de la seguridad de datos y es la forma más simple e importante de impedir que alguien robe o lea la información de un sistema informático con fines malintencionados. Utilizado tanto por usuarios individuales como por grandes corporaciones, el cifrado se usa ampliamente en Internet para garantizar la inviolabilidad de la información personal enviada entre navegadores y servidores. 4. Cifrado asimétrico (Gutierrez, 2013) Existen dos claves, una pública y una privada, y se puede usar en dos direcciones. a) El emisor cifra el mensaje con la clave pública A, que es la que puede conocer cualquiera. Sin embargo, para descifrarlo hace falta la clave B, que sólo tiene el receptor, ya que es privada. Con esto se garantiza confidencialidad, cualquiera podría cifrar, pero sólo quien tenga la clave privada podrá descifrar. b) El emisor cifra el mensaje con la clave privada B, que sólo él conoce. Ahora cualquiera puede descifrarlo con la clave privada A, pero una vez descifrado con esa clave A, la naturaleza del algoritmo estará garantizando que se ha cifrado con la clave B, por lo que la utilización del algoritmo en este sentido se usa para asegurar la autenticidad, y no para ocultar información. Cualquiera tendrá acceso a la información, pero podrá saber a ciencia cierta de dónde procede. El cifrado asimétrico en esta dirección se usa para certificar la autenticidad de las firmas digitales. El funcionamiento de estos algoritmos, basados en factorización de números primos, permite que el cifrado se calcule con relativa sencillez, pero haga falta más procesamiento para descifrarlo. No obstante, aunque este algoritmo garantiza la seguridad de la clave. 20.

(21) privada, ya que sólo la tiene el receptor, es más lento y hace que los mensajes cifrados tengan un volumen mayor. Ejemplos de este cifrado son: ✓ DSA ✓ RSA ✓ Diffie-Hellman 5. Cifrado híbrido (Gutierrez, 2013) A menudo las conexiones seguras de Internet se sirven de una mezcla de los dos tipos de cifrado anteriores. Aprovechan la ligereza de uno y la fortaleza del otro. Lo que suelen hacer protocolos de comunicación seguros como HTTPS (basado en la capa SSL), es cifrar los mensajes usando un algoritmo simétrico, de forma que se hace un cifrado y descifrado rápido de los mismos, además de tener menos volumen los mensajes cifrados. Como hay que transmitir la clave del cifrado de alguna manera, ésta se cifra con un algoritmo asimétrico. Con esto se consigue que la parte más voluminosa de la información, que es el mensaje, vaya cifrada con un algoritmo seguro pero ligero, y la parte menos voluminosa, que es la clave, vaya cifrada con el algoritmo más pesado, y que garantiza que sólo podrá ser descifrada en el destino. De esta manera, en el destino primero ha de descifrar la clave del cifrado simétrico, con su clave privada, y una vez tenida esta clave, descifrar el mensaje. Esto garantiza una conexión segura. 6. Generación del token (Acosta D. E., 2010). Este dominio incluye diferentes requerimientos de seguridad en la generación de token, según el tipo de token generado por la plataforma, como se puede observar a continuación: •. Si se generan Token Irreversibles:. 21.

(22) o Se debe asegurar que el procedimiento de generación del token dispone de unas funciones matemáticas (algoritmos hash) o los procesos aleatorios adecuados para tal efecto. o Los tokens generados no deben incluir en ningún caso la totalidad o parte de los dígitos del PAN original. o Las tablas “diccionario” de interrelación entre token aleatorios y datos PAN deben ser lo suficientemente complejas para que la probabilidad de deducir un PAN a partir del token sea menor que una opción entre un millón. •. Si se generan Token Reversibles Criptográficos o Se debe asegurar que las claves de cifrado utilizadas no puedan ser extraídas en claro de la plataforma. o Las claves de cifrado utilizadas en la generación de token no deben ser utilizadas para cualquier otra función dentro o fuera de la plataforma. o Los cambios de claves de tokenización deben suponer un cambio en el mapeo de token con los PAN originales relacionados. o No se deben almacenar en la plataforma la totalidad o parte de datos PAN en claro.. •. Si se generan Token Reversibles No-Criptográficos: o La generación del token debe ser independiente al PAN asociado a dicho token, de manera que sea imposible deducir el PAN desde dicho dato sin el acceso a la tabla de mapeo de ambos datos. o La probabilidad de deducir un PAN a partir de un token sin información adicional debe ser menor que una posibilidad entre un millón.. 7. Mapeo del token (Acosta D. E., 2010) Este dominio incluye diferentes requerimientos de seguridad en el mapeo del token con los datos PAN originales, según el tipo de token generado por la plataforma, como se puede observar a continuación: •. Si se generan Token Reversibles Criptográficos: o Las aplicaciones que realicen peticiones de tokenización o de destokenización a la plataforma deben ser previamente autenticadas en la misma.. 22.

(23) o Se deben establecer Controles de Acceso Basados en Roles en la plataforma (RBAC) en la plataforma, de manera que solo los usuarios con necesidades operativas justificadas para tal efecto puedan acceder a la misma. •. Si se generan Token Reversibles No-Criptográficos: o El mapeo entre un token y el PAN original debe realizarse única y exclusivamente en el Repositorio de Datos de Tarjeta (Card Data Vault (CDV)) de la plataforma. o Se deben establecer Controles de Acceso Basados en Roles en la plataforma (RBAC), de manera que solo los usuarios con necesidades operativas justificadas para tal efecto puedan acceder a la misma.. 8. Repositorio de datos de tarjetas (PCI Security Standards Counci, 2015) Este dominio aplica solo en el caso de que en la plataforma se generen Token Reversibles Criptográficos y se ocupa de los siguientes requerimientos de seguridad en el CDV: •. Las tablas y todas las localizaciones de la CDV donde se almacenen PAN (cintas de backup, entre otros.) deben ser cifradas con claves de como mínimo 128 bits, con alguno de los algoritmos recomendados por la guía (ver sección “Algoritmos recomendados para claves criptográficas y hash” de este mismo artículo).. •. Se deben establecer Controles de Acceso Basados en Roles (RBAC) en el CDV, de manera que solo los usuarios con necesidades operativas justificadas para tal efecto puedan acceder a dicho elemento.. 9. Gestión de claves criptográficas (Ojeda, 2018) Este dominio incluye diferentes requerimientos de seguridad para la gestión de las claves criptográficas de la plataforma, según el tipo de token generado por la misma, como se puede observar a continuación: •. Si se generan Token Irreversibles: o Se deben establecer unos adecuados procedimientos de seguridad en el ciclo de vida de las claves criptográficas utilizadas en la plataforma. o Se deben establecer criptoperíodos para las claves de cifrado, bien a nivel temporal o en base a un número máximo de usos. 23.

(24) o Se deben incluir procedimientos de destrucción segura de las claves de cifrado una vez han finalizado su criptoperíodo, de manera que dichas claves no puedan ser nunca recuperadas una vez hayan sido destruidas. •. Si se generan Token Reversibles Criptográficos: o Las claves criptográficas utilizadas en la plataforma deben ser generadas a través de un Dispositivo Criptográfico Seguro (Secure Cryptographic Device (SCD)). Además, la generación del token debe realizarse directamente en este mismo dispositivo. o La gestión del ciclo de vida de las claves de cifrado (claves de generación del token) debe ser correcta (generación de las claves, definición de criptoperíodo, destrucción, entre otros.).. •. Si se generan Token Reversibles No-Criptográficos:. Todas las operaciones relacionadas con la gestión de las claves de cifrado de tokens deben ser realizadas en un dispositivo SCD (como por ejemplo HSMs, entre otros.). 10. Data vault (Acosta D. E., 2010) Posterior a la realización de un proceso interno de identificación y depuración de datos confidenciales dentro del entorno afectado (tal como se explicará más adelante), los datos confidenciales que tienen que ser protegidos deben ser centralizados en una única base de datos (BD) o repositorio seguro (Data Vault, en inglés). Junto con cada dato a ser protegido se debe relacionar su token correspondiente, garantizando su referencia única. Ésta base de datos deberá contemplar los siguientes controles de seguridad: Aislamiento: Al ser el único elemento que almacena datos confidenciales y que contiene la referencia entre token y dato confidencial, la base de datos maestra requiere ser aislada del resto de componentes del sistema. Aquellas interfaces de comunicación de entrada/salida de datos de la base maestra deben ser controlados y asegurados (Acosta D. E., 2010). Cifrado: Debido a que almacena datos confidenciales, la base de datos maestra debe contener esta información cifrada, cubriendo todos los controles relacionados con gestión. 24.

(25) de claves, custodia y copia de seguridad. Es importante tener en cuenta que los controles de 'tokenización' y cifrado son complementarios y no son excluyentes (Acosta D. E., 2010). Alcance: El token y su referencia al dato confidencial deben ser válidos únicamente para un entorno limitado. Esto garantiza que, en el caso hipotético de que el listado completo de tokens y referencias sea comprometido, esta información no tendrá valor alguno fuera del entorno definido. Dato confidencial con un ente externo, se recomienda implementar rutinas de conversión token-a-token y no entregar o compartir los datos confidenciales ni permitir acceso no controlado a la base de datos maestra centralizada (Acosta D. E., 2010). Autenticación, Autorización y Registro (AAA): Únicamente el personal aprobado por la organización debe poder tener acceso a la base de datos maestra centralizada y su autenticación debe ser robusta, para prevenir accesos no autorizados. Igualmente, es requerido implementar mecanismos de monitorización sobre la base de datos maestra con el fin de identificar cualquier actividad anómala o sospechosa en las peticiones de conversión token-dato confidencial y mantener trazabilidad sobre transacciones y acciones realizadas (Acosta D. E., 2010). 1.7.3 •. Marco conceptual Token (Acosta D. , 2018). Dentro de la categoría de token reversibles (se puede obtener el dato sensible original a partir del token), se tienen los siguientes tipos: Criptográficos: Son generados a partir del PAN, utilizando algoritmos de cifrado robustos (Auditors, 2019). No-criptográficos: El token se obtiene de una tabla que relaciona el PAN original con un valor aleatorio específico. En dichos casos, es evidente que la información contenida en las tablas de relación token-PAN será vital para asegurar la confidencialidad de los datos de la plataforma. Dentro de la categoría de tokens irreversibles (no se puede obtener el dato sensible original a partir del token), se tienen los siguientes tipos (Auditors, 2019):. 25.

(26) Autenticable: El token es creado a partir de la aplicación de una función matemática (hash) sobre el PAN. A pesar de que no es posible revertir el proceso, obteniendo el PAN original se puede validar cual es el token asociado a dicho dato, aplicando de nuevo la misma función matemática sobre el dato (Auditors, 2019). No-autenticable: En este caso, aunque el token se genera de la misma forma que en el caso anterior (aplicando una función matemática sobre el PAN), es imposible validar el token asociado a un PAN original, ya que cada token generado es diferente, a pesar de que el dato inicial sea el mismo. Roles en servicios de tokenización. Los roles en el proceso de tokenización definidos por la guía son los siguientes (Acosta D. E., 2010): Proveedor de la solución de tokenización: Entidad que provee a un comercio una solución de tokenización empaquetada, para que el usuario final la implemente en su propio entorno. Proveedor de servicio de tokenización: Entidad que provee un servicio de tokenización a un comercio o usuario final, de manera que dicho proveedor se hace responsable no solo del desarrollo de la plataforma de tokenización, sino también de su mantenimiento y administración (Acosta D. E., 2010). •. Disponibilidad. Al convertirse en punto único de fallo y ser altamente crítica para la gestión de la organización, se debe disponer de una estrategia de disponibilidad que garantice la continuidad de la operación en caso de algún tipo de fallo en la prestación del servicio (Acosta D. E., 2010). •. Dato público.. Es el dato calificado como tal según los mandatos de la ley o de la Constitución Política y todos aquellos que no sean semiprivados o privados, de conformidad con la presente ley. Son públicos, entre otros, los datos contenidos en documentos públicos, sentencias judiciales debidamente ejecutoriadas que no estén sometidos a reserva y los relativos al estado civil de las personas (Acosta D. E., 2010).. 26.

(27) •. Dato semiprivado (EL CONGRESO DE COLOMBIA, 2012). Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios a que se refiere el Título IV de la presente ley. •. RAID (Calderon Cardona SAS, 2019). El término RAID es un acrónimo del inglés “Redundant Array of Independent Disks”. Significa matriz redundante de discos independientes. RAID es un método de combinación de varios discos duros para formar una única unidad lógica en la que se almacenan los datos de forma redundante. Ofrece mayor tolerancia a fallos y más altos niveles de rendimiento que un sólo disco duro o un grupo de discos duros independientes •. Dato privado. Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular.” (EL CONGRESO DE COLOMBIA, 2012) •. Autorización. Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales. (EL CONGRESO DE COLOMBIA, 2012) •. Base de Datos. Conjunto organizado de datos personales que sea objeto de Tratamiento (EL CONGRESO DE COLOMBIA, 2012). •. Dato personal. Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables (EL CONGRESO DE COLOMBIA, 2012).. 27.

(28) •. Encargado del Tratamiento.. Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del responsable del Tratamiento (EL CONGRESO DE COLOMBIA, 2012). •. Responsable del Tratamiento.. Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos (EL CONGRESO DE COLOMBIA, 2012). •. Titular. Persona natural cuyos datos personales sean objeto de Tratamiento (EL CONGRESO DE COLOMBIA, 2012). •. Tratamiento. Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión (EL CONGRESO DE COLOMBIA, 2012). •. AES (Rouse, Search Security, 2017). Advanced Encryption Standard, o AES, es un cifrado de bloques simétrico elegido por el gobierno de EE. UU. Para proteger la información clasificada y se implementa en software y hardware en todo el mundo para cifrar datos confidenciales. El Instituto Nacional de Estándares y Tecnología (NIST) comenzó el desarrollo de AES en 1997 cuando anunció la necesidad de un algoritmo sucesor para el Estándar de Encriptación de Datos (DES), que comenzaba a ser vulnerable a los ataques de fuerza bruta. Este nuevo y avanzado algoritmo de cifrado no se clasificaría y debía ser "capaz de proteger la información sensible del gobierno hasta bien entrado el próximo siglo", según el anuncio del NIST sobre el proceso para el desarrollo de un algoritmo estándar de cifrado avanzado.. 28.

(29) Fue pensado para ser fácil de implementar en hardware y software, así como en entornos restringidos (por ejemplo, en una tarjeta inteligente) y ofrece buenas defensas contra diversas técnicas de ataque. •. KVM (Red Hat Enterprise, 2018). KVM, o Kernel based Virtual Machine, es una de las tantas herramientas de virtualización. Basada en GNU/Linux y desarrollada por la empresa Qumranet, esta herramienta de software libre permite la virtualización sobre hardware x86 y viene por defecto en a partir del kernel 2.6.20 de Linux, permitiendo una rápida implementación. KVM realiza una virtualización completa, a diferencia de otras alternativas que hacen emulación del procesador (Virtual Box, VMWare), lo cual da muchísima usabilidad y flexibilidad, pero no aprovecha bien los recursos del servidor, lo cual hace un poco más lenta la ejecución del SO huésped. Estos son algunas cualidades de KVM. En concreto, con KVM puede convertir a Linux en un hipervisor que permite que una máquina de host ejecute entornos virtuales múltiples y aislados llamados máquinas virtuales (VM) o huéspedes. •. VPN (Goujon, 2012). Una VPN (Virtual Private Network) es una tecnología de red que se utiliza para conectar una o más computadoras a una red privada utilizando Internet. Las empresas suelen utilizar estas redes para que sus empleados, desde sus casas, hoteles, entre otros., puedan acceder a recursos corporativos que, de otro modo, no podrían. Sin embargo, conectar la computadora de un empleado a los recursos corporativos es solo una función de una VPN Como puede suponerse, a través de una VPN pasa información privada y confidencial que en las manos equivocadas, podría resultar perjudicial para cualquier empresa. Esto se agrava aún más si el empleado en cuestión se conecta utilizando un Wi-Fi público sin protección. Afortunadamente, este problema puede ser mitigado cifrando los datos que se envían y reciben. Para poder lograr este objetivo, se pueden utilizar los siguientes protocolos:. 29.

(30) o IPSec: (Internet Protocol Security): permite mejorar la seguridad a través de algoritmos de cifrado robustos y un sistema de autentificación más exhaustivo. IPsec posee dos métodos de encriptado, modo transporte y modo túnel. Asimismo, soporta encriptado de 56 bit y 168 bit (triple DES). o PPTP/MPPE: tecnología desarrollada por un consorcio formado por varias empresas. PPTP soporta varios protocolos VPN con cifrado de 40 bit y 128 bit utilizando el protocolo Microsoft Point to Point Encryption (MPPE). PPTP por sí solo no cifra la información. o L2TP/IPSec: (L2TP sobre IPsec): tecnología capaz de proveer el nivel de protección de IPsec sobre el protocolo de túnel L2TP. Al igual que PPTP, L2TP no cifra la información por sí mismo. Parte de la protección de la información que viaja por una VPN es el cifrado, no obstante, verificar que la misma se mantenga íntegra es igual de trascendental. Para lograr esto, IPsec emplea un mecanismo que si detecta alguna modificación dentro de un paquete, procede a descartarlo. Proteger la confidencialidad e integridad de la información utilizando una VPN es una buena medida para navegar en Wi-Fi públicos e inseguros incluso si no se desea acceder a un recurso corporativo. •. Switch (Express VPN, 2018). Un switch es un dispositivo de hardware, que también es conocido como conmutador, utilizado para establecer interconexiones en redes informáticas. En pocas palabras, es un aparato que se utiliza para filtrar y encaminar paquetes de datos entre segmentos de redes locales y ofrecer conexión a los equipos que conforman una subred LAN. El switch opera en la capa de enlace del modelo OSI, siendo completamente independiente de los protocolos que se ejecutan en las capas superiores de la red. Tiene la capacidad de escuchar todos los puertos y construir tablas para realizar un mapeo de las direcciones MAC, con el puerto a través del cual se pueden alcanzar estas direcciones. En la ilustración 2 se puede observar cómo se conecta un switch a una red.. 30.

(31) Ilustración 2 Switch conectado a una red Fuente (Culturacion, 2019). •. Función Hash (Tokens24, 2018). Una función criptográfica usualmente conocida como “hash”, es un algoritmo matemático que transforma cualquier bloque arbitrario de datos en una nueva serie de caracteres con una longitud fija. Independientemente de la longitud de los datos de entrada, el valor hash de salida tendrá siempre la misma longitud. Como se puede ver en las siguientes dos series se evidencia que la longitud es la misma pero con un cambio de orden en una letra, genera una secuencia de datos totalmente diferente,. para. el. nombre. Brian. se. generaría. el. código. hash. 75c450c3f963befb912ee79f0b63e563652780f0 y para la palabra brain aplicando SHA-1 es 8b9248a4e0b64bbccf82e7723a3734279bf9bbc4, en la ilustración 3 se observa como es el proceso de un cifrado aplicado a una entrada de texto.. 31.

(32) Ilustración 3 Ejecución de función hash Fuente (Vidal Quinteiro, 2014). •. Service Level Agreement – SLA (Servicetonic, 2019). Un Service Level Agreement (SLA) es un contrato que describe el nivel de servicio que un cliente espera de su proveedor. En español, también se llama Acuerdo de Nivel de Servicio (ANS). Los SLA sirven para establecer unos indicadores que se puedan medir para regular el servicio que se presta y así asegurar el cumplimiento de las expectativas de nuestros clientes (Rouse & Louissaint, service-level agreement (SLA), 2015). En la ilustración 4 se define el esquema para definir un buen SLA.. 32.

(33) Ilustración 4 Definición de SLA Fuente (Servicetonic, 2019). •. PCI-DSS (Acosta D. E., 2010). PCI DSS es fruto del esfuerzo del PCI Security Standards Council (PCI SSC) formado por las principales compañías emisoras de tarjetas de pago (Visa, Mastercard, American Express, JCB y Discover), para forzar y facilitar a comercios, proveedores de servicios y bancos a reducir el riesgo de fraude con tarjetas de crédito, mediante la protección de las infraestructuras que procesan, transmiten o almacenan datos relativos a tarjetas de crédito. Cualquier organización que participe en el procesamiento, transmisión o almacenamiento de información de tarjetas de pago queda afectada por el cumplimiento de los requerimientos que establece PCI DSS. PCI DSS cataloga a estas organizaciones en comercios o merchants (super/hipermercados, autopistas, e-commerce, agencias de viajes, entre otros.), proveedores de servicios o service providers (ISP/ASP, pasarelas de pago, fabricantes de tarjetas, servicios de envío de tarjetas, procesadores de transacciones, entre otros.) y entidades financieras o acquirers (bancos, cajas de ahorro, entidades de crédito, entre otros.).. 33.

(34) Internet Security Auditors, con su experiencia en consultoría y auditoría en seguridad de la información, está en disposición de ayudar a todas aquellas organizaciones que están obligadas a definir y mantener un programa de cumplimiento de los requerimientos exigidos tanto por PCI DSS como PA-DSS, siendo la primera empresa española en obtener las homologaciones que la acreditan (QSA, PA-QSA y ASV) y la única con presencia en España y Colombia con capacidad de llevar a cabo procesos integrales de Adecuación y Certificación de PCI DSS y PA-DSS en Europa, Latinoamérica y USA. •. Cifrado Preservación de Formato. Se refiere al cifrado de tal manera que la salida (el texto cifrado) esté en el mismo formato que la entrada (el texto plano). El significado de "formato" varía. Normalmente solo se discuten los dominios finitos, por ejemplo: o Para cifrar un número de tarjeta de crédito de 16 dígitos para que el texto cifrado sea otro número de 16 dígitos. o Encriptar una palabra en inglés para que el texto cifrado sea otra palabra en inglés. o Para cifrar un número de n bits para que el texto cifrado sea otro número de n bits (esta es la definición de un cifrado de bloque de n bits). Para tales dominios finitos, y para los fines de la discusión a continuación, el cifrado es equivalente a una permutación de N enteros {0,..., N −1} donde N es el tamaño del dominio.. 1.7.4. Marco legal. Para este proyecto y por sus objetivos se basó en la ley 1581 de 2012, la cual dicta disposiciones generales para la protección de datos personales, en el título VI DEBERES DE LOS RESPONSABLES DEL TRATAMIENTO Y ENCARGADOS DEL TRATAMIENTO. La LEY ESTATUTARIA 1266 DE 2008, por la cual se dictan las disposiciones generales de hábeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones. Con el Decreto 2952 de 2010, Decreto 1727. 34.

(35) de 2009, por el cual se determina la forma en la cual los operadores de los Bancos de Datos de Información financiera, crediticia, comercial, de servicios y la proveniente de países terceros, deben presentar la información de los titulares de la información, por el cual se reglamentan los artículos 12 y 13 de la ley 1266 de 2008, resolución 76434 de 2012 (EL CONGRESO DE COLOMBIA, 2012). Por la cual se deroga el contenido del Título V de la circular única de la Superintendencia de Industria y Comercio, sobre acreditación y se imparten instrucciones relativas a la protección de datos personales, en particular, acerca del cumplimiento de la ley 1266 de 2008, sobre reportes de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países, las cuales se incorporan en el citado título, sentencia C-748 de 2011, control constitucional al proyecto de ley estatutaria No. 184 de 2010 Senado; 046 de 2010 Cámara, "Por la cual se dictan disposiciones generales para la Protección de Datos Personales", Sentencia C-1011 de 2008, proyecto de ley estatutaria de habeas data y manejo de información contenida en bases de datos personales (Red Consumidor, 2018). ARTICULO 15. Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas (EL CONGRESO DE COLOMBIA, 2012). En la implementación del proceso de tokenización, se basó en el proceso que se lleva a cabo para la protección de compras con tarjetas de crédito, el cual se llama PCI DSS (Payment Card Industry Data Security Standard, por su traducción al español, Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago), el cual fue desarrollado por un comité conformado por la compañías de tarjetas crédito y débito más importantes, denominado PCI SSC (Payment Card Industry Security Standards Council).. 1.8 Factibilidad Económica El desarrollo de la implantación del modelo en una organización como una prueba piloto requieren una inversión económica baja a nivel de recurso humano ya que su duración es corta y una inversión en infraestructura tecnológica a consideración de la organización en. 35.

(36) la cual se realizará la prueba, donde es altamente rentable por los riesgos que evita para la organización, si se considera la materialización de las amenazas que podrían llevar a demandas, indemnizaciones y daño en su reputación e imagen para sus clientes y lo más importante el costo de la seguridad perimetral podría reducirse En la tabla 1, se describen los costos estimados para la ejecución del proyecto en la empresa Alliance Enterprise.. Recurso. Valor unitario. Cantidad. Computadores. $ 1.500.000,00. Analistas. $. Servidor Data Vault. $ 3.500.000,00. Software pruebas. para. $. Total 2. $ 3.000.000,00. 50.000,00 220(Horas). $ 11.000.000,00. -. Total. 1. $ 3.500.000,00 $. -. $ 17.500.000,00 Tabla 1 Factibilidad Económica, costos Fuente (Propia). El costo de la data vault puede ser variable de acuerdo con el tamaño y requerimiento de la organización, en esta factibilidad se incluye el costo de un servidor con los requerimientos mínimos para el proyecto.. 36.

(37) 1.9 Cronograma. Ilustración 5 Cronograma actividades Fuente (Propia). 37.

(38) 2 ANÁLISIS DE LA SITUACION ACTUAL En la actualidad el manejo de grandes volúmenes de información que son recolectados mediante tecnologías de información (TICs) de forma constante como lo son las redes sociales, sistemas de registro gubernamentales y. entidades privadas entre las más. relevantes hacen que el análisis de estos grandes volúmenes de datos se convierta en un negocio lucrativo, muchos casos se han presentado de robo o uso indebido de información debido a esto existen empresas dedicadas a explotar esta información ya sea para estudiar patrones y tendencias o en casos más extremos suplantaciones, robos y estafas, esto ha generado que los países legislen leyes que permitan a las personas tener control sobre el uso que van a tener sus datos una vez suministrados a cualquier organización. En Colombia en el 2012 se definió la ley de habeas data que se convirtió en una normativa de obligatorio cumplimiento (Gómez, 2017), desde entonces su proceso de implementación ha sido lento, muchas empresas no tienen conciencia de la importancia de la información que almacenan o procesa esto se refleja en las 610 sanciones impuestas desde el 2010 por la superintendencia de industria y comercio por un monto de 21mil millones de pesos ,en lo corrido del año 2019 han estado en investigación o sancionadas empresas destacadas como Facebook, Bancolombia, Falabella y Rappi, la ley contempla los derechos a la protección de datos y la intimidad como su base fundamental, no posee la descripción recursos técnicos que deban cumplir las empresas pero es clara en la responsabilidad por parte de estas en la seguridad y custodia de la información, las violaciones a esta ley son atendidas por la superintendencia de industria y comercio, entidad que al día de hoy ha impuesto varias multas a empresas donde se ha demostrado el mal manejo que han dado a información de índole personal (Superintendencia de Industria y Comercio, 2019).. Uno de los casos fue el de ICETEX, cientos de usuarios “indignados” con el sistema de cobranza del Instituto Colombiano de Crédito y Estudios Técnicos en el Exterior (ICETEX) denunciaron un mal manejo de sus datos privados por parte de esa entidad. Según ellos ICETEX utilizó de manera indebida sus datos personales al dárselos a firmas de cobranza externas que utilizaron dicha información para “acosar” a los deudores por medio. 38.

(39) de correos electrónicos a sus empleadores, mensajes de texto amenazantes y hasta cartas físicas enviadas a sus residencias. Dicha situación derivó en que el ICETEX tuviera que cambiar la manera en la que realizaba dichos cobros y optó por realizar esta tarea de manera directa para evitar este tipo de inconvenientes, según lo reconoció en una entrevista concedida a Dinero el director del ICETEX, Andrés Vázquez (Revista Dinero, 2017). En Colombia las empresas progresivamente han adoptado medidas de seguridad informática que antes no se contemplaban como las políticas de seguridad de la información que comprende el uso aceptable de los recursos, clasificación de la información y políticas de seguridad que también incluyen planes de capacitación para todos los colaboradores, este tipo de normas se han venido extendiendo por las grandes y medianas empresas , pero aun así el ritmo de crecimiento y el nivel de concientización debe aumentar A nivel de infraestructura las políticas de seguridad de la información que se implementan en las organizaciones determinan los controles de acceso a los diferentes tipos de hardware por el personal autorizado, el área de infraestructura se encarga de establecer los manuales de procedimiento para mantener la integridad de la red y la forma de operación en caso de un incidente de seguridad. Las áreas encargadas del mantenimiento y operación de la infraestructura de red de la organización son las encargadas de determinar la segmentación de red, mantener un inventario de hardware actualizado, determinar los accesos a la información, la implementación de parches de seguridad y actualización de software. También son las encargadas de definir la seguridad perimetral de la organización con las debidas reglas de firewall, esta situación es común en las empresas colombianas, muchas están adoptando su aplicación en los procesos críticos. A nivel internacional se han desarrollado legislaciones que rigen el derecho a la protección de los datos personales, a regular su procesamiento y circulación. La Comunidad Europea, con apoyo de la OCDE, fue pionera en desarrollar lineamientos en esta materia, estableciendo que los datos personales pueden ser reunidos en bases de datos únicamente bajo condiciones estrictas, respetando ciertos derechos que los titulares de los datos tienen garantizados bajo esta legislación. Asimismo se establecieron reglas para proteger los datos 39.

(40) de sus nacionales cuando estos sean objeto de exportación. Para tal propósito se exige que las transferencias internacionales de datos se realicen únicamente a países con un adecuado nivel de protección. Para Colombia es de gran importancia ser certificado por la Comunidad Europea como una jurisdicción de adecuado nivel de protección de datos; sin embargo, la regulación nacional no ha alcanzado el estándar europeo. Por esta razón, actualmente, las transferencias de datos provenientes de países europeos hacia Colombia están prohibidas y sólo pueden realizarse mediante el visto bueno de una autoridad de protección de datos europea. Dicho trámite, resulta por lo general demorado y costoso para las empresas nacionales. La importancia de esta certificación radica en que, además de satisfacer el cumplimiento de una garantía que resulta sustancial dentro de una democracia; desde el punto de vista económico, generaría mayor competitividad para la realización de negocios que impliquen transferencia de información desde Europa, sin que se haga necesario acudir al mecanismo de autorizaciones individuales. Este avance supondría un impacto positivo, entro otros, en la generación de empleo y la dinamización de los flujos de inversión extranjera. Ahora bien, la legislación colombiana en materia de protección de datos está contenida, principalmente, en los artículos 15 y 20 de la Constitución. Estos, se refieren a los derechos fundamentales de protección de datos y de información (Perez, 2019). IBM por su parte ofrece el servicio SPECTRUM, para el almacenamiento seguro de la información, gestión y protección de datos, la suite incluye muchos otros aspectos, con una interfaz de fácil usabilidad, almacenamiento cloud privado y hace que la implementación sea más fácil y rentable. Este servicio está disponible en Colombia. 2.1 Registro Nacional de Bases de Datos Actualmente el Gobierno de la República de Colombia, implanto el Registro Nacional De Bases De Datos (RNBD), el cual es un directorio público de las bases de datos sujetas a tratamiento de datos personales que operan en el territorio nacional, este registro se hace ante la Superintendencia de Industria y Comercio (SIC) y es de libre consulta para cualquier ciudadano. La información que debe contener este registro está reglamentada en el decreto. 40.

(41) único 1074 de 2015, que están condicionados bajo los cuales se deben inscribir en éste las bases de datos sujetas a la aplicación de la Ley 1581 de 2012. Antes de registrar las bases de datos es preciso realizar el inventario de las bases de datos con información personal a cargo del responsable del tratamiento, bien sea en medio físico (papel) o electrónico (listas o archivos en cualquier formato, bases de datos relacionales, entre otros.). Al efectuar este inventario se debe obtener la siguiente información: ✓ Cantidad de bases de datos con información personal. ✓ Cantidad de titulares por cada base de datos. ✓ Información detallada de los canales o medios que se tienen previstos para atender a los titulares. ✓ Tipo de datos personales contenidos en cada base de datos a los que se realiza tratamiento, como: datos de identificación, ubicación, socioeconómicos, sensibles u otros. ✓ Ubicación física de las bases de datos. Al respecto se preguntará si la base de datos se encuentra almacenada en medios propios, por ejemplo archivadores o servidores(dependiendo de si se trata de un archivo físico o una base de datos electrónica), internos o externos a las instalaciones físicas del responsable. ✓ Cuando el tratamiento de los datos personales se realice a través de un (unos) encargado (s) del tratamiento, se solicitarán los datos de identificación y ubicación de ese (esos) encargado (s). ✓ Medidas de seguridad y/o controles implementados en la base de datos para minimizar los riesgos de un uso no adecuado de los datos personales tratados. ✓ Información sobre si se cuenta con la autorización de los titulares de los datos contenidos en las bases de datos. ✓ Forma de obtención de los datos (directamente del titular o mediante terceros). ✓ Cuando se ha realizado transferencia o transmisión internacional de la base de datos, se solicitará la información básica del destinatario. ✓ Si la base de datos se ha cedido, se solicitará la información básica del cesionario. 2.1.1. ¿Qué es el RNBD?. Es el Directorio público de las bases de datos con información personal sujetas a Tratamiento que operan en el país. Lo anterior no implica que allí esté depositada ninguna 41.