Uno de los temas más controvertidos en el nuevo reglamento de LOPD, representa el hecho de que para los documentos de nivel Básico establece con respecto a la autentificación
"Artículo 91. Identificación y autenticación.
1. El responsable del fichero o tratamiento deberá adoptar las medidas que
garanticen la correcta identificación y autenticación de los usuarios. Para ello
podrán utilizarse entre otros, mecanismos basados en certificados digitales
electrónicos o en el reconocimiento de datos biométricos.
2. El responsable del fichero o tratamiento establecerá un mecanismo que
permita la identificación de forma inequívoca y personalizada de todo aquel
usuario que intente acceder al sistema de información y la verificación de que
está autorizado.
3. Cuando el mecanismo de autenticación se base en la existencia de
contraseñas existirá un procedimiento de asignación, distribución y
almacenamiento que garantice su confidencialidad e integridad.
4. El documento de seguridad establecerá la periodicidad, que en ningún caso
será superior a un año, con la que tienen que ser cambiadas las contraseñas
que, mientras estén vigentes, se almacenarán de forma ininteligible."
Como comprobaréis el epígrafe 2 establece la necesidad de crear objetos únicos relacionados para cada usuario que accedan a datos de carácter personal de tipo básico, en contra de lo establecido hasta ahora en el reglamento existente, que era de requerimiento solo para datos de nivel medio. Claro ¿qué empresa no tiene datos de caracter básico? ¿ todas cumplen estos requisitos?
Si analizamos la problemática, veremos que muchas aplicaciones de gestión o acceso a datos utilizan una única cuenta compartida por varios usuarios que evidentemente este artículo invalidaría por considerarlas genéricas. Este pequeño ajuste podría suponer cambios en las aplicaciones que posiblemente algunas empresas no puedan llevar a cabo o a generar nuevas versiones de aplicaciones de gestión muy comunes en las PYMES.
Si hacemos una última reflexión, que sentido tiene forzar a utilizar una cuenta para usuario si luego no tengo porque hacer un registro de las acciones; un sinsentido...
Suscribirse a:
Enviar comentarios (Atom)
2 comentarios:
es interesante saben, como informaticos siempre buscamos la manera de que nuestra informacion sea mas segura, pero al mismo tiempo hay otro grupo de nosotros que esta buscando la manera de virtualmente jodernos la vida con nuestra propia informacion.
Creo que está bien que tener estos artículos para la autenticación e identificación, pero creo que también muchos de éstos reglamentos son demasiado estrictos y también cada ves los usuarios tienen más trabas.
Publicar un comentario