Estamos comprometidos a lograr el cumplimiento del Reglamento General de Protección de Datos (GDPR, en inglés).
Un Esquema del GDPR
El Reglamento General de Protección de Datos (GDPR, en inglés) representa el mayor cambio en la legislación europea de protección de datos en tres décadas. La actual directiva de protección de datos precede a la llegada de la nube, los medios sociales, la Internet y otras tecnologías que hoy damos por sentadas. Muchas de las empresas capaces de manejar gran cantidad de información también se adhirieron a la legislación vigente. Así que el GDPR es una actualización bienvenida y oportuna.
El GDPR sigue aplicando los principios generales de protección de datos ya bien establecidos en la legislación. Sin embargo, establece una variedad de nuevos requisitos y consideraciones para cualquier organización que procese datos personales. Es importante destacar que las consecuencias para las empresas que fallan en la obtención de una protección de datos son graves:
1
Una multa de hasta el 2 % de los ingresos globales por infracciones técnicas y de hasta el 4 % por incumplimiento de los principios establecidos en la ley.
2
Introducción de la notificación obligatoria de las violaciones de datos personales, que incluye la alerta a los interesados sobre la violación (si es material).
3
La perspectiva de demandas colectivas entabladas en nombre de los interesados afectados.
4
Potencialmente, la prohibición total del tratamiento de datos personales (en casos extremos).
Intuitive Password cumple en su totalida con el GDPR
En Intuitive Security Systems Pty Ltd, nuestra continua revisión de cumplimientos y acciones se basan en nuestras inversiones existentes en privacidad, seguridad y procesos operativos necesarios para cumplir con los requisitos del GDPR y otras regulaciones aplicables. Intuitive Security Systems Pty Ltd participa en el marco del Escudo de Privacidad de la UE y ya cumple con todas las normas actuales de protección de datos de la UE. Hasta el 25 de mayo de 2018, la empresa también cumplirá con el GDPR.
Para asegurarnos de que los clientes entiendan la filosofía general de Security Systems Pty Ltd en cuanto al RGPD, nuestras metas para la fecha en la que se haga cumplir, y cómo podrían usar Intuitive Password en cumplimiento con el RGPD, es importante recordar algunos puntos:
1
En terminología RGPD, Intuitive Password es un "Procesador de Datos" y usted, nuestro cliente, es el "Controlador de Datos" de todos los datos de cliente cargados o generados. Esto significa que usted está a cargo de determinar el destino de todos los datos cargados por usted o usuarios de su cuenta. Intuitive Password cumplirá con sus instrucciones y los términos de cualquier acuerdo o contrato escrito acerca de cómo lidiar con datos dentro de las capacidades del producto.
2
Como Controlador de Datos, usted también posee la relación directamente con los usuarios en su cuenta. Estos usuarios son considerados "Sujetos de Datos" bajo el RGPD. Los Sujetos de Datos tienen ciertos derechos bajo la ley, e Intuitive Password provee herramientas para que usted asista a Sujetos de Datos en el ejercicio de sus derechos. Si su relación con Intuitive Password terminara, sus datos serán destruidos poco después del final del contrato. Esto es para proteger la privacidad y seguridad de los datos.
3
En cualquier momento, usted tiene el derecho, y las herramientas necesarias, para sacar toda la información cargada o generada por el cliente de Intuitive Password. Le facilitamos mantener su propia copia de respaldo. Es muy importante recordar que usando Intuitive Password usted no necesaria o automáticamente cumple completamente con el RGPD. Le exhortamos a verificar que cumpla todos los aspectos de la regulación, y a buscar asesoría legal de ser necesaria.
Como se notó anteriormente, Intuitive Security Systems Pty Ltd está en el buen camino al cumplimiento del RGPD y creemos que Intuitive Password podrá asistir a nuestros clientes en sus esfuerzos de cumplimiento aprovechando la siguiente funcionalidad:
Seguridad:
Intuitive Password está desarrollado sobre encriptación AES-256 bits con PBKDF2 SHA-256 y hashes salados para asegurar la protección de datos en la nube. Intuitive Password también opera en una infraestructura de nube endurecida y pasa muchas revisiones de seguridad a profundidad cada año. Esto podría ayudar a los clientes a abordar cualquier requerimiento que puedan tener alrededor de la utilización de encriptación, seudonimización y/o anonimización.
Arquitectura de Conocimiento Cero:
Intuitive Password es desarrollado desde los cimientos con la idea de que el usuario individual es la única persona que puede acceder a sus datos. Esto va en perfecta alineación con los principios y requerimientos de protección de datos del RGPD. Separando los datos y claves de encriptación, ningún empleado de Intuitive Password será capaz de acceder a datos de los clientes. Si Intuitive Password alguna vez fuera violado, el texto cifrado no tendría ningún valor para los atacantes y por lo tanto no se requeriría acción inmediata alguna.
Sin Procesamiento Adicional:
Intuitive Password nunca minará datos de clientes por ningún propósito. Primero, es una cuestión de política en los mayores niveles de Intuitive Password por las que estamos comprometidos con la privacidad del cliente. Segundo, debido a nuestra arquitectura de conocimiento cero, es técnicamente imposible para nosotros hacerlo. Esto sigue principios del RGPD de organización y políticas técnicas para proteger datos personales.
Eliminación de Datos:
Intuitive Password permite a sus clientes exportar sus datos y borrar su cuenta, de requerirlo. Esta función podría permitir a un cliente cumplir requerimientos alrededor de la eliminación de datos personales después de que su uso previsto termine, se retire el consentimiento, o si un propósito comercial legítimo ya no existe.
Protección de Privacidad:
Intuitive Password está desarrollado en el principio de conocimiento cero. Esto significa por defecto, solo el sujeto de datos en sí puede acceder a sus datos sensibles y tal funcionalidad puede considerarse una práctica aceptable de protección de la privacidad.
Preguntas Frecuentes
Como compañía australiana, ¿Intuitive Password necesita seguir el RGPD?
Sí. Como un proveedor global de software como servicio, tenemos muchos clientes en la UE (y el Espacio Económico Europeo o EEE), lo que significa que el RGPD aplica igualmente a nosotros. Por lo tanto, cumpliremos con las provisiones aplicables del RGPD a más tardar el 25 de mayo del 2018.
He leído acerca de "controladores de datos" y "procesadores de datos". ¿Cuál es la diferencia y cuál de ellos es Intuitive Password?
Para parafrasear el texto formal: (a) un Controlador de Datos es el dueño de su información y decide cómo debería ser usada esa información; y (b) un Procesador de Datos es una persona o entidad que procesa los datos personales del Controlador de Datos y lleva a cabo instrucciones del Controlador en relación con estos datos. Generalmente hablando, nuestros clientes serán los Controladores de su Contenido (como se define el término en nuestros Términos de Servicio), incluyendo cualquier información personal asociada que pongan o generen en nuestros sistemas, e Intuitive Password será el Procesador en su nombre. En algunas instancias limitadas y expuestas, como cuando reunimos datos de un cliente para crear una cuenta, Intuitive Password será el Controlador.
¿Qué es un proveedor "conocimiento cero"?
Intuitive Password es un proveedor de seguridad de conocimiento cero. El usuario de Intuitive Password es la única persona que tiene control total sobre la encriptación y desencriptación de sus datos. Con Intuitive Password, la encriptación y desencriptación ocurren en el dispositivo local o navegador web del usuario al ingresar a sus cuentas. Cada registro individual guardado en la cuenta del usuario es encriptado con una clave segura AES de 256 bits. Las claves de registro están protegidas por una clave adicional, llamada la Clave de Encriptación de Datos. La Clave de Encriptación de Datos es encriptada por una clave derivada de los credenciales de ingreso del usuario. Este modelo de encriptación multinivel provee la más avanzada protección de datos disponible en la industria.
¿Qué cambios está implementando Intuitive Password para mantenerse en cumplimiento del RGPD?
Como plataforma de conocimiento cero, la información almacenada en nuestro producto está totalmente encriptada y solo disponible para el usuario. Hemos hecho cambios en nuestros sistemas analíticos para asegurar el anonimato para nuestros clientes y hemos hecho cambios para permitirle controlar su consentimiento acerca de cómo puede ser usado o almacenado cualquier dato personal que pueda ser recolectado sobre usted.
¿El RGPD evita que una compañía almacene información fuera de la UE?
No, no hay nada en la regulación actual del RGPD que prevenga o sugiera este requerimiento. El RGPD delinea que los Procesadores de Datos deben proteger apropiadamente los datos personales, sin importar dónde sean almacenados. Adicionalmente, el RGPD no invalida o anula las Cláusulas Modelo UE (que son parte del APD cumplidor del RGPD de Intuitive Password) o el marco del escudo de privacidad de la UE, ambos mecanismos válidos para asegurar la trasferencia legal de datos personales hacia dentro o fuera de la UE.
¿Ustedes ofrecen un acuerdo de procesamiento de datos?
Sí. Intuitive Password se complace en ofrecer un Acuerdo de Procesamiento de Datos (APD) que cumple con el RGPD incorporando: (1) las Cláusulas Contractuales Tipo de la UE (también conocidas como las Cláusulas Modelo UE); (2) Las Medidas Técnicas y Organizacionales de Seguridad de Datos de Intuitive Password; y (3) un acuerdo específico RGPD. Este APD cumplidor del RGPD asegura que cualquier transferencia de datos personales fuera del Espacio Económico Europeo en conexión con su relación con Intuitive Password será realizado en cumplimiento con el RGPD.
¿Dónde se almacenan mis datos?
Todos los datos de Intuitive Password residen dentro de Australia. Nuestros centros de datos primarios y de respaldo están ambos ubicados en Melbourne y Sídney.