LIBRO ELECTRONICO

El camino a cumplimiento: Pasos para

la seguridad de los datos de cumplir
con el GDPR

Una Guía para CISO DE PREPARACIÓN PARA EL CUMPLIMIENTO GDPR

Contenido

Resumen ejecutivo................................................ .................................................. .......... 3

Introducción .................................................. .................................................. ...................... 4

Sobre el GDPR .................................................. .................................................. ............... 5

No GDPR aplica a su organización? .................................................. .................. 7

El precio de incumplimiento .................................................. ....................................... 9

Una lista para acercarse GDPR .................................................. ........................... 11

Imperva puede ayudar .................................................. .................................................. ......... 13

Aprende más .................................................. .................................................. ......................15

2 El camino hacia el cumplimiento

Resumen ejecutivo

Resumen ejecutivo

La nueva Unión Europea (UE) Reglamento de protección de datos generales
(GDPR) sustituye a la Directiva 95/46 / CE (Directiva). La nueva regulación se expande protección de
la privacidad e incluye nuevas obligaciones para las empresas que manejan datos personales
procedentes de la UE. Y a diferencia de la Directiva, se amplía el alcance de la ley de protección de
datos a las empresas que pueden no tener presencia en la UE Mientras aquellas empresas procesan
los datos personales de un residente de la UE en relación con productos o servicios que se ofrecen, o
si esas compañías monitorean el comportamiento de los individuos dentro de la UE.
Esta guía es para los CISO que quieren saber si sus empresas se verán afectadas por la nueva
regulación, cuáles podrían ser los efectos, y los pasos de sus equipos podrían tomar para
prepararse para los requisitos de seguridad de datos GDPR. Aprenderás:
• El marco básico, la intención y el alcance de la GDPR
• ¿Qué empresas se ven afectadas

• ¿Qué son las sanciones en caso de incumplimiento

Incluso para las organizaciones que ya siguen las mejores prácticas de seguridad cibernética, los nuevos
• Un enfoque pragmático para abordar un proyecto de cumplimiento GDPR
requisitos de seguridad de datos podría dar lugar a cambios en los procesos y la tecnología que

requieren tiempo y recursos para poner en práctica. El potencial de crecimiento para los equipos de
• ¿Cómo puede ayudar Imperva
seguridad es doble: pueden beneficiarse del aumento de la capacidad de investigación y plan de

respuesta a la violación aerodinámico que viene con las medidas de proceso y de tecnología como

resultado de conformidad.

3 El camino hacia el cumplimiento

Introducción

Haciendo GDPR de Datos de Cumplimiento de Seguridad una prioridad

máxima

Cualquier empresa que procesa los datos personales procedentes de la UE (sea o no el interesado sea un ciudadano o GDPR es una prioridad para las
residente de la UE) o los datos de una UE residente si la empresa tiene operaciones en la UE o no serán cubiertos por el
multinacionales de EE.UU.
GDPR. Debido a que esto podría afectar a casi todos los sitio web o aplicación en el mundo, no es de extrañar que el
cumplimiento GDPR se ha convertido en una prioridad para los CISO de todo el mundo.
En una encuesta realizada por PwC, el 54 por ciento de

las multinacionales estadounidenses dicen disposición

Para las empresas ubicadas en la UE, que realizan o buscan hacer negocios con las personas en la UE, o de supervisión o el
GDPR es la más alta prioridad en su técnica de
comportamiento de obtener información de personas en la UE, los ujieres GDPR en un nuevo nivel de obligaciones de cumplimiento
privacidad y agenda de seguridad. Más de las tres
sobre la privacidad y seguridad de datos. Dada la importancia del esfuerzo necesario para planificar y poner en práctica las medidas
cuartas partes de los encuestados (77 por ciento)
de cumplimiento, el tiempo se agota para las empresas que aún no han comenzado. No importa donde su empresa está en el camino
informan de que sus compañías planean gastar $ 1 millón
hacia el cumplimiento, esta guía puede ayudarle a tomar las medidas adecuadas para llegar allí.
o más en el cumplimiento GDPR.

FUENTE: PWC, “ESTUDIO DE PULSO: US EMPRESAS aumento

gradual GENERAL DE PROTECCIÓN DE DATOS REGLAMENTO

(GDPR) PRESUPUESTOS,” Enero 2017.

4 El camino hacia el cumplimiento

Sobre el GDPR

Sobre el GDPR

El nombre oficial

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 la protección
de las personas físicas en lo que respecta al tratamiento de datos personales ya la libre circulación de
estos datos, y se deroga la Directiva 95/46 / CE (Reglamento general de Protección de datos).

Longitud del texto completo

88 páginas

Estado

Entra en vigor 25 de de mayo de, 2018

Propósito

Dar a las personas en la UE derechos más fuertes, dotándoles de un mejor control de sus datos y la
protección de su privacidad en la era digital.

5 El camino hacia el cumplimiento

Sobre el GDPR

organizaciones impactadas

Ambos controladores de datos (los que determinan los fines y los medios del tratamiento de datos personales) y

procesadores de datos (los que procesan datos personales en nombre del controlador) de los datos personales

procedentes de la UE o de los residentes de la UE, independientemente de la ubicación de la empresa

Qué son los datos personales?

Cualquier información relativa a una persona física identificada o identificable que se origina en la UE. Más
específicamente, la GDPR afirma: “ 'datos personales': toda información sobre una persona física identificada o
identificable (el 'interesado'); una persona física identificable es uno que puede ser identificada, directa o
indirectamente, en particular por referencia a un identificador tal como un nombre, un número de identificación,
datos de localización, y el identificador de línea o a uno o más factores específicos de la física, fisiológica,
identidad genética, psíquica, económica, cultural o social de esa persona física “.

Proceso de dar un título

Para aquellos que cumplen satisfactoriamente los requisitos, hay una certificación opcional, que puede proporcionar una
ventaja competitiva y ayudar a construir la confianza del cliente.

6 El camino hacia el cumplimiento

No GDPR aplica a su organización?

No GDPR aplica a su organización?

Una de las razones que muchas organizaciones globales que operan fuera de la UE no pueden Mientras que simplemente tener un sitio web o de correo electrónico accesible en la UE no es suficiente

haber comenzado a planificar para el cumplimiento GDPR es que no entienden o no la regla es para que un negocio global en el ámbito GDPR, ciertos factores pueden indicar que una empresa tiene la

aplicable a ellos. Mientras CISO siempre debe consultar con su departamento legal acerca de intención de ofrecer bienes o servicios a los residentes o visitantes dentro de la UE de la UE, que a

la aplicabilidad, la siguiente explicación y ejemplos proporcionan un punto de partida para continuación, llevar el negocio en el ámbito de las nuevas reglas. Estos factores pueden incluir:

comprender el alcance de la regulación.

• El uso de un lenguaje o una moneda que se utiliza generalmente en uno o más Estados
No es sorprendente que los requisitos GDPR se aplican a cualquier organización hacer negocios en la UE, miembros de la UE, con la posibilidad de ordenar bienes y servicios en ese idioma
independientemente de si el tratamiento de datos de carácter personal se lleva a cabo en la UE o no, y si se

trata de datos sobre los residentes de la UE o visitantes de la UE.

• La mención de los clientes o usuarios que están en la UE 1

Es importante señalar que las nuevas normas se aplicarán a las empresas establecidas fuera
de la UE si se procesan los datos personales de los residentes o visitantes de la UE en relación
con:

• Las ofertas de bienes o servicios, con independencia de si se requiere el pago; o,

• El seguimiento de la conducta que tiene lugar dentro de la UE

1 El artículo 23 de los considerandos introductorias a la GDPR.

7 El camino hacia el cumplimiento

No GDPR aplica a su organización?

¿Se aplica GDPR? dos ejemplos

EJEMPLO 1 Ejemplo 2

Una firma de análisis financiero se encarga de proyectar los ingresos de una empresa europea para los
próximos tres años. El analista principal trabaja fuera de una oficina en los EE.UU., sino que utiliza los datos
personales suministrados por el cliente. Debido a que los datos fueron recogidos en la UE, que está sujeta a
requisitos GDPR, a pesar de que el analista se basa fuera de la oficina de Estados Unidos y no recogió
inicialmente los datos.
Un sitio web para móviles y en línea permite a la gente a comprar, comprar y valorar productos. La
empresa estadounidense propietaria de la tienda al por menor para recoger información personal
acerca de las personas que visitan y hacen compras. La información se utiliza posteriormente en las
campañas de publicidad e informes de ventas. Si una persona visita el sitio web mientras están
físicamente presentes en la UE, los requisitos de la GDPR siguen los datos personales recogidos
durante esa visita. Esto significa que cualquier sitio web o aplicación móvil que se puede acceder por y
recoge datos personales de una persona en la UE tendrán que cumplir con la GDPR.

8 El camino hacia el cumplimiento

El precio de incumplimiento

El precio de incumplimiento

Si los beneficios de cumplir con GDPR no son suficientes incentivos, las posibles sanciones para las empresas que no cumplan deben ayudarle a crear un
modelo de negocio convincente para la inversión necesaria. Mientras que las multas son discrecional y no obligatorio, que se impongan sobre una base
caso por caso, en formas diseñadas para ser efectivas, proporcionadas y disuasorias, los dos niveles de multas administrativas máximos establecidos en la
regulación son empinadas. Dependiendo de la violación, las multas pueden caer en una de dos categorías: 2

LA MAYOR € 10 MILLONES / ~ $ 11 millones o 2% Facturación anual de GLOBAL DE EJERCICIO ANTERIOR

En caso de incumplimiento en relación con su consentimiento, protección de datos, las obligaciones del controlador y del procesador, los

registros escritos, evaluaciones de impacto sobre la intimidad, las comunicaciones de violación, y las certificaciones, entre otros. Véase el

artículo 83 (4).

LA MAYOR € 20 MILLONES / ~ $ 22 millones o el 4% Volumen de ventas anual GLOBAL

Por falta de adhesión a los principios básicos de procesamiento de datos, la violación de los derechos personales, o la
transferencia de datos personales a otros países u organizaciones internacionales que no garanticen un nivel adecuado de
protección de datos, entre otros. Véase el artículo 83 (5).

2 Diario oficial de la Unión Europea , El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo.

9 El camino hacia el cumplimiento

El precio de incumplimiento

Lo que las grandes organizaciones podrían enfrentar

tributo de la UE

Considere este ejemplo. Acme, Inc. genera 20 mil millones € / ~ $ 21,5 mil millones en ingresos en 2017 y se De 800 millones de € / $ 862 millones de

encontró que han transferido los datos personales a los Estados Unidos (un país que la Comisión Europea ha
determinado no tiene un nivel adecuado de protección de datos personales) y sin la aplicación de salvaguardias
adecuadas para proteger los datos y sin asegurar que los titulares de los datos tienen datos exigibles los derechos
de privacidad y recursos jurídicos efectivos.

reguladores de la UE (es decir, la autoridad competente de protección de datos) tienen el poder de imponer una multa de 800 millones € / $

862 millones (4% de los 20 mil millones de €), que es mucho más que el mínimo de 20 millones de €. Con márgenes de operación típicas en

un solo dígito, una multa de esta magnitud podría fácilmente consumir la mayor parte del beneficio para una empresa grande durante todo un

año.

INGRESOS ANUALES
20 mil millones de € / ~ $ 21,5 billón

10 El camino hacia el cumplimiento

Una lista para acercarse GDPR

Recolección de

Una lista para acercarse GDPR

información

Para ayudar a su organización a comenzar con su proyecto de cumplimiento GDPR, los expertos en seguridad de datos en
Información de
Imperva recomiendan seguir esta lista: almacenamiento /

procesamiento

Tarjetas De
LISTA DE CONTROL GDPR EXPLICACIÓN Explicación Crédito
Comerciantes

Un DPIA ayuda a identificar y minimizar los riesgos de privacidad. Trabajando con las partes interesadas

evaluación de privacidad de los dentro de las organizaciones empresariales y socios, a documentar cómo el procesamiento de datos

datos de impacto (DPIA) personales cumpla la GDPR. Un DPIA es requerida por el GDPR en situaciones de alto riesgo.

Proveedor del

programa de
Evaluar lo que los datos personales que tiene y donde se almacena. Mediante la realización de un inventario Inventario y
fidelización
inventario de los datos procesamiento de pedidos
de los datos personales, a obtener una comprensión clara de los datos personales utilizados en su
personales
organización.

Identificar todos los sistemas que tocan de datos que está dentro del alcance de la GDPR. Mapear los

flujos de datos de punto de entrada hasta el final a la destrucción, incluyendo los procesos de terceros.

mapeo de datos le ayuda a asegurar que todos los riesgos se descubren apropiadamente a medida que
análisis del flujo de datos
adquiera un conocimiento sólido de ciclo de vida completo de datos de su organización. Véase la Figura
CRM interno
1.

Los datos de la empresa

Almacén

Siga los puntos de contacto para los datos (incluyendo bases de datos, sistemas de archivos y las

personas) y llevar a cabo una evaluación de riesgos contra cada uno de ellos. Se le evaluación de las Acceso a la Información de
Información / Archivo /
políticas de protección de datos actuales y procesos, así como los controles de la tecnología que hacen
Transferencia Destrucción

Las evaluaciones de riesgo (s) cumplir las políticas y procedimientos. Por ejemplo, ¿tiene controles para hacer cumplir los requisitos de

transferencia de datos transfronterizos de la GDPR? Identificar las áreas de mayor riesgo y lo que debe Cumplimiento Recuperación de desastres
Vendedor y copias de seguridad
hacerse para mitigar ese riesgo.

Los datos combinados Galletas Datos financieros

Datos de la transacción

Figura 1: Análisis de flujo de datos

11 El camino hacia el cumplimiento

Una lista para acercarse GDPR

Evaluar sus procedimientos y controles para detectar, informar e investigar una violación de datos. El GDPR
Busco: 28.000 DPOS NECESARIOS
impone requisitos de notificación de violaciones de los controladores y procesadores de datos. Por ejemplo, los

procedimientos de violación responsables del tratamiento deben reportar las violaciones de datos a las autoridades de supervisión dentro de El GDPR exige que las autoridades públicas el procesamiento de

de datos opinión las 72 horas de la toma de conciencia de una violación a menos que es poco probable que resulte en un riesgo información personal para designar a un oficial de protección de

para los derechos y libertades de una persona física la brecha. datos (RPD), cuando las actividades básicas requieren “un

seguimiento periódico y sistemático de los titulares de los datos a

gran escala” o consisten en “tratar categorías especiales de datos” a

Identificar cómo va a remediar las lagunas detectadas en el cumplimiento de sus evaluaciones de riesgos.
gran escala o si requerido para ello por la legislación local. Como
Priorizar qué lagunas son de mayor riesgo y debe abordarse en primer lugar. planes de remediación pueden
Identificación de las lagunas y los está escrito en el GDPR, las tareas de la DPO incluyen: informar y
incluir: el entrenamiento o la contratación de personal, proceso o cambios en las políticas, contratos legales, y la
planes de remediación asesorar sobre las obligaciones de cumplimiento, la vigilancia del
implementación de nuevos controles de la tecnología.
cumplimiento, asesoramiento con respecto a las evaluaciones de

impacto de protección de datos, trabajar y cooperar con la autoridad

Presentar los resultados de su análisis, junto con las soluciones recomendadas para conseguir el de supervisión designada, y estar disponible para consultas de los
Firmar en los resultados
apoyo y el presupuesto para el proyecto. Usted debe obtener signo ejecutivo fuera de los interesados. De acuerdo con un estudio realizado por la Asociación
(beneficios)
resultados esperados del proyecto. Internacional de Profesionales de la Privacidad (IAPP), este requisito

significa que, sólo en Europa,

Implementar mejoras
Ejecutar el proyecto utilizando una metodología de implementación probada que incluye la
/ plan de remediación
definición, diseño y fases de implementación.

Gobernabilidad (rendición de
Poner en marcha procesos para llevar a cabo DPIAs en curso y asegurar el cumplimiento
cuentas en curso y DPIAs)
continuo a través de la prueba.
28.000 OPD tendrán que ser nombrado el 25 de mayo,
2018.

Fuente: Rita Heimes y Sam Pfeifle, “Estudio: Por lo menos

28.000 OPD necesarios para cumplir con los requisitos GDPR,”Asociación
Internacional de Profesionales de la Privacidad, 19 de Abril 2016.

12 El camino hacia el cumplimiento

Imperva puede ayudar

Imperva puede ayudar

Más de 5.000 clientes en todo el mundo, incluyendo empresas de servicios financieros, empresas de salud y agencias gubernamentales confían en
Imperva para proteger sus datos y aplicaciones críticas. Cuando se trata de cumplir con GDPR, Imperva ofrece servicios de expertos y premiada
tecnología que se combinan para crear las mejores soluciones de su clase. Estas soluciones pueden ayudar a su empresa en la implementación de
medidas de reducción de riesgos y mejorar el cumplimiento de su organización con los requisitos de seguridad de los datos en virtud de la GDPR.

Soluciones de seguridad Imperva Datos

Las soluciones de seguridad de datos Imperva proteger los datos sensibles de posibles violaciones de datos y pueden ayudar a implementar salvaguardias adecuadas de

datos, que son un componente básico de cumplimiento GDPR. Nuestras soluciones de seguridad cibernética incluyen:

Imperva SecureSphere base de datos del cortafuegos: Base de datos Imperva SecureSphere Firewall aborda los requisitos fundamentales

de seguridad de datos de descubrimiento y clasificación de los datos sensibles, evaluación de la vulnerabilidad de base de datos, la supervisión

del acceso de datos y acceso de los usuarios a los datos sensibles, así como la prevención de la transferencia física de los datos fuera de la UE

o de entidades no autorizados por el controlador -Procesador acuerdos. Se escala para satisfacer las demandas de seguridad de incluso las

organizaciones más grandes, y está respaldado por el Centro de Defensa de Imperva, una organización de investigación de seguridad de clase

mundial que mantiene cutting- protección de los bordes del producto contra amenazas en constante evolución.

13 El camino hacia el cumplimiento

Imperva puede ayudar

Imperva camuflaje: Imperva camuflaje Data Masking ocupa de los requisitos de minimización de datos y GDPR seudónimos mediante

la sustitución de los datos confidenciales con datos ficticios realistas. Los datos de enmascarado mantiene la integridad referencial y es

estadísticamente precisa, permitiendo que los datos recogidos para ser utilizado para la prueba, análisis y otras actividades basadas en

datos.

Imperva CounterBreach: Imperva CounterBreach protege los datos empresariales almacenados en bases de datos empresariales, recursos

compartidos de archivos y aplicaciones SaaS de robos y pérdidas causadas por los usuarios comprometidos, por descuido o maliciosos. Se aplica

aprender a aprender de forma dinámica los patrones de acceso a datos de los usuarios normales de la máquina y luego identifica la actividad de

acceso inapropiado o abusivo, lo que ayuda a prevenir las violaciones de datos antes de que ocurran.

Imperva descubrimiento de datos y servicio de análisis: Base de datos Imperva Descubrimiento y Servicio de análisis (DDNA)

proporciona una metodología probada para descubrir y clasificar los datos, lo cual es un aspecto crítico de cumplimiento GDPR.

Resultados clave incluyen: identificación de los elementos de base de datos, propietarios y custodios de datos; clasificación de riesgo

de los datos; y recomendaciones de control.

Imperva Proyecto Descubrimiento y Servicio de Análisis: Imperva Proyecto de descubrimiento y análisis de servicios (pDNA) evalúa los

controles actuales de seguridad de base de datos para identificar las deficiencias de control. Resultados clave incluyen: la identificación de

las principales partes interesadas, evaluación de riesgos y recomendaciones de soluciones y planes para abordar las brechas identificadas.

14 El camino hacia el cumplimiento

Aprende más

Aprende más

Obtenga más información sobre cómo cumplir con la normativa de protección de datos dentro de GDPR:

• Lea el texto completo de la Reglamento de protección de datos generales (GDPR)

• Echa un vistazo a las notas del producto “GDPR: Nuevas reglas de protección de datos en la UE”

Acerca de Imperva

Imperva® (NASDAQ: IMPV) es un proveedor líder de soluciones de seguridad informática que protegen

los datos críticos para el negocio y aplicaciones. líneas de productos SecureSphere, CounterBreach,

Incapsula y el camuflaje de la compañía permiten a las organizaciones para descubrir activos y riesgos,

proteger la información donde quiera que esté - en la nube y en las instalaciones - y cumplir con las

regulaciones. los Centro de Defensa Imperva , Un equipo de investigación compuesto por algunos de los

principales expertos del mundo en los datos y la seguridad de aplicaciones, mejora continuamente los

productos de Imperva con la inteligencia de amenazas actualizada al minuto, y publica informes que

permiten conocer y orientación sobre las amenazas más recientes y cómo mitigarlos . Imperva tiene su

sede en Redwood Shores, California. Aprende más: www.imperva.com , nuestro blog , en Gorjeo .

© 2017 Imperva, Inc. Todos los derechos reservados. Imperva, el logotipo de Imperva, CounterBreach, Incapsula, SecureSphere, ThreatRadar, camuflaje y el diseño son marcas registradas de Imperva, Inc. y sus subsidiarias. | Imperva.com

15 El camino hacia el cumplimiento

Derechos de autor: 2017, Imperva, Inc. Todos los derechos reservados. Imperva, el logotipo de Imperva, SecureSphere, Incapsula, CounterBreach, ThreatRadar y camuflaje
y el diseño son marcas registradas de Imperva, Inc. y sus subsidiarias. Todas las demás marcas o nombres de productos son marcas comerciales o marcas comerciales
registradas de sus respectivos propietarios.
imperva.com