Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Cumplimiento de GDPR > ¿Cumple SFTP con el GDPR? [Cómo hacer que SFTP cumpla con el GDPR]

¿Cumple SFTP con el GDPR? [Cómo hacer que SFTP cumpla con el GDPR]

by Vince Lau updated diciembre 14, 2024 Cumplimiento de GDPR
Reading Time: 9 minutes

¿Necesitas que tu protocolo SFTP cumpla con el GDPR? Aquí están los requisitos del GDPR que tu empresa necesitará para demostrar cumplimiento.

¿Es SFTP compatible con el GDPR? No, SFTP por sí solo no es compatible con el GDPR. Hacer que SFTP cumpla con el GDPR requiere protocolos adicionales, pruebas, aplicaciones para el cumplimiento y otras medidas de seguridad para proteger los datos personales. Sin embargo, algunos proveedores ofrecen SFTP compatible con el GDPR que es fácil de hacer completamente compatible.

¿Qué es el GDPR y cómo juega SFTP un papel en el cumplimiento?

GDPR es un marco de cumplimiento de la UE instituido para ayudar a proteger a los consumidores y apoyar el control del consumidor sobre su información personal. Estas regulaciones se aplican a la TI y al hardware que de alguna manera maneja la información del usuario, y proporcionan controles para empoderar a los usuarios a negar el consentimiento o hacer que su información personal sea eliminada de las bases de datos empresariales.

Por lo tanto, estas reglas se aplican a tecnologías de transferencia de archivos como el Protocolo de Transferencia de Archivos. El Artículo 32 especifica que las empresas que almacenan, transmiten y utilizan información personal del consumidor deben tomar medidas técnicas y organizativas apropiadas para protegerla, equilibradas con preocupaciones comerciales razonables y evaluación de riesgos. Esto incluye tecnologías como el cifrado y la seudonimización.

Eso hace que el FTP estándar no cumpla con el GDPR. Dado que la mayoría de los marcos de cumplimiento en EE. UU. y la UE requieren algún tipo de cifrado, la mayoría de las empresas utilizan Secure FTP (SFTP) para transferir archivos. Las empresas que utilizan SFTP para hacer negocios (transferencias de archivos y almacenamiento en servidores que contienen información personal del consumidor) ya están en el camino correcto para el cumplimiento, pero necesitan tomar pasos adicionales para asegurarse de que cumplen.

Sin embargo, SFTP en sí mismo no es completamente compatible. Aunque proporciona cifrado, hay varias maneras en las que un servidor SFTP puede no cumplir con los requisitos:

  1. El cifrado podría no ser suficiente. Aunque SFTP incluye tecnología SSH (y por lo tanto alguna forma de cifrado), no todas las soluciones SFTP están actualizadas o son apropiadas para los requisitos del GDPR.
  2. El servidor SFTP puede depender de scripts no probados o no autorizados. Los flujos de trabajo escritos en diferentes lenguajes de programación, si no están debidamente asegurados, podrían resultar en la divulgación ilegal de datos de usuario y una violación del cumplimiento.
  3. Los servidores SFTP no siempre vienen con la documentación y auditoría adecuadas. El GDPR requiere alguna forma de prueba para mostrar que se tomaron acciones específicas, a saber, que se dio consentimiento para ciertos tipos de uso de datos o que se siguieron las solicitudes de eliminación de datos.

El cumplimiento con el GDPR, en el caso de SFTP, requiere una comprensión más profunda e implementación de controles de seguridad que cumplan con los derechos del sujeto de datos bajo el GDPR.

Transferencia de Archivos Compatible con el GDPR

La Transferencia de Archivos Compatible con el GDPR es un conjunto de prácticas y protocolos que las organizaciones deben seguir para asegurarse de que no están violando el Reglamento General de Protección de Datos de la Unión Europea (GDPR). Los métodos incluyen cifrar y descifrar datos, almacenamiento y transmisión de datos, y destrucción de datos. Esto asegura la confidencialidad, integridad y disponibilidad de la información.

Las empresas se benefician del uso de la Transferencia de Archivos Compatible con el GDPR porque les ayuda a cumplir con sus obligaciones legales y evita las repercusiones financieras, legales y de reputación de no usarla. Las sanciones regulatorias, la pérdida de datos de clientes y el daño a la experiencia del cliente son todas posibles sanciones financieras resultantes de una violación del GDPR. Además, las empresas también pueden ser responsables de los daños derivados de una violación, como pérdidas financieras y daños a la reputación, que pueden ser difíciles de reparar para las organizaciones.

Las repercusiones financieras, legales y de reputación de no usar la Transferencia de Archivos Compatible con el GDPR pueden ser severas. Las multas por incumplimiento van desde 10 millones de euros hasta el 4% de la facturación anual global de una empresa. Además, cualquier violación del GDPR puede llevar a acciones legales. Finalmente, las empresas que no cumplan pueden sufrir daños irreparables a su reputación y pueden ser objeto de críticas públicas y boicots.

¿Cuáles son algunas de las mejores prácticas para el cumplimiento con SFTP y GDPR?

¿Cuáles son los pasos que una empresa puede tomar para hacer que su uso de SFTP sea compatible? Pueden centrarse en la adopción de tecnología que pueda cumplir con los requisitos, incluyendo:

  1. Soluciones que utilicen estándares de cifrado adecuados para almacenar y transmitir datos. Los artículos 5 y 6 del GDPR requieren que la información sea protegida con tecnología que pueda asegurar la protección y privacidad. Además, estos artículos requieren que cualquier procesamiento de datos también asegure la privacidad de los datos sin importar lo que les suceda. Esto generalmente significará usar tecnologías como SFTP utilizando AES-256 y TLS 1.2 o superior.
  2. Incluir registros de auditoría. No hay una llamada específica para auditorías, pero hay un requisito de que se cumplan ciertas formas de interacción, específicamente el consentimiento. Los registros de auditoría pueden ayudarte a proporcionar un rastro de evidencia que pueda demostrar a los auditores de cumplimiento que estás cumpliendo con tus requisitos. Ten en cuenta que el registro bajo el GDPR es diferente de otros estándares de cumplimiento. Aunque no todos los métodos de registro capturan información privada, muchos lo hacen, y estos registros deben mantenerse bajo los mismos controles de seguridad que cualquier otra información (incluyendo cifrado y salvaguardias de autorización).
  3. Aprovechar una solución que proporcione visibilidad y accesibilidad de datos. Uno de los requisitos del GDPR, como se describe en el artículo 39, es que una organización debe tener un Responsable de Protección de Datos cuyas responsabilidades incluyan monitorear el cumplimiento, interactuar con los reguladores y asegurar que los empleados y otras partes interesadas entiendan sus responsabilidades bajo el GDPR. Un panel funcional de CISO puede ayudar a la oficina de un Responsable de Protección de Datos a entender las brechas en el cumplimiento y a responder más fácilmente a las interrupciones en el cumplimiento a medida que ocurren.

Aunque estos pueden parecer amplios, el mejor enfoque para el GDPR es asumir que cualquier dato del consumidor recopilado debe ser protegido, que la privacidad del consumidor y las demandas de eliminación de datos deben ser respetadas y que hay una función de gestión clara para los estándares de cumplimiento.

¿Cuáles son las sanciones por incumplimiento?

Un servidor SFTP configurado incorrectamente puede ser el boleto al incumplimiento y severas sanciones. Estas generalmente se organizan en torno a la gravedad del incumplimiento, los usuarios de datos afectados y los pasos tomados por la organización para rectificar la situación.

No todas las infracciones conducen a multas al principio. Los organismos gubernamentales podrían en su lugar hacer cualquiera de las siguientes cosas antes de imponer multas:

  1. Emitir advertencias
  2. Instituir una prohibición temporal o permanente en el procesamiento
  3. Ordenar la remediación del problema o la eliminación de datos
  4. Suspender transferencias a otros países

En el caso de multas, sin embargo, GDPR divide las sanciones en dos niveles:

  1. Un máximo de 10 millones de euros o el 2% de la facturación anual global (lo que sea mayor) por incumplir requisitos específicos del GDPR. Estos incluyen la infracción de obligaciones bajo los Artículos 8 (consentimiento del niño), 11 (procesamiento que no requiere identificación), 25 (que los datos procesados sean específicamente relevantes para la tarea en cuestión), 39 (tareas de un Responsable de Protección de Datos), 42 (certificación y cumplimiento) y 43 (trabajar con organismos de certificación adecuados).
  2. Un máximo de 20 millones de euros o el 4% de la facturación anual global (lo que sea mayor) por incumplir requisitos en los Artículos 5, 6, 7, 9 así como incumplimiento intencional de los artículos en los niveles inferiores). Las principales sanciones aquí están vinculadas a interrupciones en los principios de procesamiento de datos, procesar adecuadamente los datos para fines comerciales, romper el consentimiento, derechos del sujeto de datos o transferencias a países externos.

El GDPR impone sanciones significativas, y un servidor SFTP que no esté configurado adecuadamente para gestionar la seguridad y la privacidad de los consumidores será una responsabilidad en lugar de un activo que podría costar a tu organización una parte significativa de los ingresos.

Lista de verificación de 10 pasos para lograr el cumplimiento con el GDPR

Una lista de verificación puede ayudar a las organizaciones a demostrar el cumplimiento con el GDPR proporcionando una lista completa de los pasos necesarios que una organización necesita tomar para cumplir con la regulación. Esto podría incluir cosas como crear una política de GDPR, realizar sesiones de capacitación para el personal y contratistas que puedan tener acceso a datos personales, actualizar contratos existentes para asegurar el cumplimiento con el GDPR y establecer procedimientos claros para la transferencia y almacenamiento de datos. Al referirse a la lista de verificación, las organizaciones pueden asegurarse fácilmente de que están tomando los pasos necesarios para seguir cumpliendo con el GDPR y demostrar su compromiso con las mejores prácticas de protección de datos. Aquí hay una lista de verificación de muestra que las organizaciones pueden usar al desarrollar un programa de cumplimiento con el GDPR:

  1. Designar un Responsable de Protección de Datos: Nombrar un Responsable de Protección de Datos (DPO) para entender y evaluar los requisitos del GDPR y asegurar que tu organización cumpla con las regulaciones. El DPO es responsable de asegurar que los datos se recopilen, usen y almacenen de manera segura y legal.

    2. Ejemplo: En una pequeña empresa, el Director de Operaciones es responsable del Responsable de Protección de Datos.

  2. Nombrar un equipo para centrarse en el GDPR: Crear un equipo responsable de evaluar, preparar e implementar los requisitos necesarios del GDPR.

    3. Ejemplo: En la misma pequeña empresa, se pide al equipo de personal de TI y asesores legales que trabajen juntos para evaluar, preparar e implementar los requisitos necesarios del GDPR.

  3. Realizar una auditoría de datos: Realizar una auditoría de datos para identificar qué datos personales se tienen, cómo se procesan y cuánto tiempo se mantienen.

    4. Ejemplo: El equipo de la pequeña empresa crea una hoja de cálculo para mapear todos los tipos de datos personales que almacenan, los propósitos para los que los tienen, cómo se procesan y cuánto tiempo los mantienen.

  4. Actualizar tu política de privacidad: Asegúrate de que la política de privacidad de tu organización describa claramente cómo se utilizan, almacenan y acceden los datos personales.

    5. Ejemplo: La pequeña empresa actualiza su política de privacidad para incluir un lenguaje específico sobre qué datos recopilan, cómo los usan, cuánto tiempo los mantienen y quién puede acceder a los datos.

  5. Crear un plan de notificación de violación de datos: Desarrollar un plan para notificar a las partes interesadas si ocurre una violación de datos.

    6. Ejemplo: La pequeña empresa crea un plan para notificar a los clientes, empleados y otras partes interesadas de una posible violación de datos si ocurre.

  6. Adoptar medidas de seguridad para proteger los datos: Implementar medidas para proteger los datos del acceso no autorizado, como cifrado, medidas de autenticación y derechos de acceso.

    7. Ejemplo: La pequeña empresa implementa un proceso de autenticación de dos factores para acceder a la base de datos de clientes y un proceso de cifrado para almacenar datos.

  7. Capacitar a tus empleados: Asegúrate de que tu equipo esté adecuadamente capacitado en el GDPR y entienda sus responsabilidades al tratar con datos personales.

    8. Ejemplo: Los equipos de TI y legales de la pequeña empresa realizan una sesión de capacitación para revisar los requisitos del GDPR y explicar cómo se aplican a la empresa y sus procesos de recopilación y almacenamiento de datos.

  8. Educar a tus clientes: Asegúrate de que los clientes estén al tanto de sus derechos y cómo pueden acceder, eliminar o restringir el uso de sus datos.

    9. Ejemplo: La pequeña empresa crea una página web que describe los requisitos del GDPR y cómo los clientes pueden acceder, eliminar o restringir el uso de sus datos.

  9. Monitorear el cumplimiento: Desarrollar un proceso para monitorear tu cumplimiento con el GDPR y revisarlo regularmente para asegurar la adherencia continua.

    10. Ejemplo: La pequeña empresa crea un sistema para revisar regularmente sus procesos de protección de datos y evaluar si todavía cumplen con el GDPR.

  10. Revisar regularmente: Revisa tus procesos de GDPR para asegurar el cumplimiento continuo.

    11. Ejemplo: La pequeña empresa realiza reuniones regulares con los equipos de TI y legales para revisar los requisitos del GDPR, evaluar el cumplimiento y hacer las actualizaciones necesarias para asegurar el cumplimiento continuo.

Las organizaciones utilizan Kiteworks SFTP para lograr el cumplimiento con el GDPR

Las organizaciones de todo el mundo utilizan Kiteworks SFTP para transferir de manera segura la información personal identificable (PII) de los residentes de la UE y en cumplimiento con el GDPR.

Como parte de la Red de Contenido Privado de Kiteworks, Kiteworks SFTP cuenta con un dispositivo virtual reforzado, servidores escalables y gobernanza centralizada que rastrea cada usuario y acción automatizada. Las transferencias de archivos están protegidas con cifrado AES-256 para datos en reposo y TLS 1.2+ para datos en tránsito, lo que lo convierte en una de las opciones de transferencia más seguras en el mercado.

Toda la actividad de archivos, incluyendo quién accedió y envió un archivo a quién y cuándo, se registra para que las organizaciones demuestren cumplimiento, detecten actividad anómala más pronto y mantengan una cadena de evidencia para forenses. La plataforma también admite opciones de implementación en las instalaciones y en la nube privada, donde las transferencias de archivos, el almacenamiento de archivos y el acceso ocurren en una instancia dedicada de Kiteworks, de acuerdo con los requisitos de soberanía de datos.

Además del GDPR, Kiteworks SFTP admite varios otros estándares regulatorios, incluyendo el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS), la Organización Internacional de Normalización (ISO 27001, 27017 y 27018), la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA), Cyber Essentials Plus, FedRAMP, y muchos más. Kiteworks SFTP también cuenta con sin limitación de tamaño o tipo de archivo, automatización sin problemas, autoservicio/facilidad de uso, automatización y administración central.

Kiteworks proporciona a las organizaciones y a sus Responsables de Protección de Datos (DPOs) visibilidad y control completos sobre la PII de sus clientes, permitiendo el cumplimiento con el GDPR.

Para obtener más información sobre cómo Kiteworks SFTP puede ayudarte a lograr el cumplimiento con el GDPR, programa una demostración personalizada hoy.

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks