Leyes aplicables y Frameworks

Clase 20 de 23 • Curso de Ciberseguridad y Privacidad Empresarial (2023)

Clase anteriorSiguiente clase

Alejandro López

student•

GDPR - General Data Protection Regulation
- Protección de datos europea
HIPAA - The Health Insurance Portability and Accountability Act
- Protección de información de salud
PCIDSS - Payment Card Industry Data Security Standard
- Seguridad en pagos online para aceptar pagos con tarjeta de crédito
ISO - International Organization for Standardization
- Regulaciones de manufactura

Patricio Sánchez Fernández

student•

Buen resumen, Alejandro.

Michel Santiago Andreu Olarte Moyano

student•

¡Gracias!

Eloy Chávez Dev

student•

Cada uno de los términos que mencionaste se refiere a estándares y regulaciones específicas relacionadas con la privacidad, seguridad y manejo de la información en diferentes contextos. Aquí hay una breve descripción de cada uno:

GDPR (Reglamento General de Protección de Datos):
- El GDPR es una regulación de la Unión Europea que entró en vigencia en mayo de 2018. Su objetivo principal es proteger la privacidad y los derechos de los individuos en relación con el procesamiento de sus datos personales. Aplica a todas las organizaciones que manejan datos personales de ciudadanos de la Unión Europea, independientemente de la ubicación de la organización. Establece principios como el consentimiento del titular de los datos, el derecho al olvido y la obligación de notificar violaciones de datos.
HIPAA (Ley de Portabilidad y Responsabilidad del Seguro Médico):
- La HIPAA es una ley de los Estados Unidos que aborda la privacidad y seguridad de la información de salud. Establece estándares para la protección de datos médicos y de salud personalmente identificables (PHI, por sus siglas en inglés) y se aplica a entidades de atención médica, proveedores de servicios de salud, compañías de seguros y otros que manejan información de salud protegida. La HIPAA tiene como objetivo principal proteger la confidencialidad y seguridad de la información médica del paciente.
PCI DSS (Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago):
- El PCI DSS es un estándar de seguridad para la protección de la información de tarjetas de pago. Desarrollado por el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI SSC), se aplica a todas las entidades que almacenan, procesan o transmiten datos de tarjetas de pago. El PCI DSS establece requisitos para la seguridad de la red, el manejo de contraseñas, el cifrado y otras medidas para prevenir fraudes y proteger la información de las tarjetas de crédito.
ISO (Organización Internacional de Normalización):
- ISO se refiere a varias normas internacionales relacionadas con la gestión de la calidad, la seguridad de la información y otros aspectos. En el contexto de seguridad de la información, la norma ISO/IEC 27001 es una norma específica que establece los requisitos para un sistema de gestión de la seguridad de la información (SGSI). Busca garantizar la confidencialidad, integridad y disponibilidad de la información en una organización.

DAIRO ALBERTO HERRERA ESCOBAR

student•

Eso último sobre leer términos y condiciones es lo ideal, pero es complicado uno siempre estar leyendo eso, con el agravante que es demasiada información muchas veces incomprensible y muy pequeña.

Jhon Freddy Tavera Blandon

student•

Las leyes aplicables a la ciberseguridad y privacidad de las empresas varían según la ubicación y la naturaleza de la información que manejan. Algunas leyes relevantes incluyen

Reglamento General de Protección de Datos (RGPD):

Este reglamento europeo se aplica a las empresas que manejan datos personales de ciudadanos de la Unión Europea. Establece normas para la protección de datos personales y la privacidad.

Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE):

Esta ley regula los servicios relacionados con Internet y la contratación electrónica, aplicándose a actividades como comercio electrónico, contratación en línea, información y publicidad.

Real Decreto 43/2021:

Este decreto establece obligaciones específicas para las empresas en materia de ciberseguridad, como la elaboración de una Declaración de Aplicabilidad que refleje el estado actual de la ciberseguridad de la empresa y las medidas de seguridad implementadas.

Además, existen varios frameworks y estándares de ciberseguridad que las empresas pueden adoptar, como ISO 27001, NIST framework, y GDPR o RGPD.

Estos frameworks proporcionan un compendio de estándares, buenas prácticas y normativas para administrar los riesgos de tecnologías digitales.

Luis Eduardo Mendieta

student•

También es importante reflexionar cual es el impacto que tiene esta regulación en el análisis de datos.

Por ejemplo, que pasa si tu empresa esta interesada en identificar email invalidos o la velocidad transaccional de un email que interactúa con un signup de sus sitio web. El GDPR limita a las empresas y no pueden hacer este tiempo de análisis que puede ser beneficio para mitigar el riesgo, a diferencia de Europa el email si es un campo que pueden usar la empresas en Suramérica y Norteamérica y en efecto lo usan para mitigar riesgo transaccional analizando el dominio, la edad del email, frecuencia transaccional.

Ronaldo Delgado

student•

La mas conocida para mi son las normas ISO : Las normas ISO, o Normas Internacionales de Organización para la Estandarización, son un conjunto de directrices desarrolladas por la Organización Internacional de Normalización (ISO) para asegurar la calidad, eficiencia y seguridad en productos, servicios y sistemas.

Francisco Marín

student•

NIS2: La Ley de seguridad de las redes y sistemas de información es una normativa destinada a establecer un nivel común de ciberseguridad en los Estados miembros de la Unión Europea. Su objetivo es proteger los sectores críticos estableciendo normas de ciberseguridad más estrictas. Además, aboga por la notificación rápida de incidentes y una mayor cooperación entre los miembros de la UE en materia de ciberseguridad.

Jhon Freddy Tavera Blandon

student•

En resumen, las empresas deben cumplir con las leyes de protección de datos aplicables a su ubicación y actividades, así como considerar la adopción de frameworks y estándares de ciberseguridad para proteger sus sistemas de información, datos y activos digitales

Francisco Javier Millán Hoyos

student•

¿En algún momento platzi, va a incluir cursos sobre estos marcos de referencia? Sería interesante la explicación sobre la práctica de estos marcos, teniendo en cuenta la regulación colombiana (Ley 1581 - 1712). Saludos.

Eddie Andres Rios Elgueta

student•

En los curso de informatica forence, ISO 27001 y DLP se desarrollan mas estos temas

Wendy Paola Duarte Cabarique

student•

Ley 1581 de 2012: Ley de protección de datos personales en Colombia.

Jorge Levi Tapia Lugardo

student•

En México existe la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Se encarga de dar los requisitos para el manejo de datos personales por parte de empresas privadas.

Julio Cesar Godinez

student•

Muy interesante