Header Ads Widget

Ticker

6/recent/ticker-posts

Qué significa GDPR para los desarrolladores de API



Introducido en 2016 e implementado en 2018, el GDPR (Reglamento general de protección de datos) se introdujo para brindar a las personas de toda Europa un mayor control sobre sus datos personales.

El cumplimiento causó muchos dolores de cabeza a las empresas, tanto dentro como fuera de la UE, y muchas enviaron frenéticamente correos electrónicos por lotes para confirmar que las personas habían optado por recibir noticias de ellos. En el otro extremo de la escala, algunos sitios y servicios bloquearon por completo a los usuarios europeos.

Linn Nordwall , del bufete de abogados sueco Delphi, habló extensamente sobre el impacto de GDPR en nuestra Cumbre de Plataforma de 2019 . Hemos visto un aumento de las violaciones de datos personales en los últimos años, y Linn describió el impacto de algunas de esas violaciones en lo que respecta al GDPR.

En este artículo, veremos por qué el cumplimiento de GDPR debería ser responsabilidad de todos dentro de una organización  al observar el impacto de algunas violaciones de datos recientes. Sin embargo, es fácil argumentar que las API son un punto débil obvio para los ciberataques centrados en la interceptación de datos, por lo que también mostraremos consejos sobre cómo reforzar sus esfuerzos de protección de datos.

Vea a Linn Nordwall de Delphi presente en la Cumbre de la Plataforma 2019 en Estocolmo:

Aprendiendo de los titulares anteriores del RGPD

Linn proporciona un par de ejemplos de los resultados de violaciones de datos recientes que fueron noticia. Estos incluyen British Airways , que enfrenta una multa intencionada de £ 183,390,000 por redireccionamiento a un sitio fraudulento más una demanda colectiva, y Marriott Hotels , que enfrentó una multa intencional de £ 99,200,396.

Lo que es notable sobre el caso de Marriott, particularmente para los proveedores de API, es que la infracción de seguridad ofensiva ya existía en una empresa adquirida por Marriott. Debido a que Marriott no realizó la debida diligencia suficiente, el incumplimiento se considera culpa suya.

Linn advierte que "antes de comprar una empresa o integrar una parte de una empresa en sus sistemas de seguridad, siempre debe asegurarse de que no haya infracciones continuas en esta empresa de antemano".

Eso es más fácil decirlo que hacerlo, por supuesto, ya que las infracciones no siempre se hacen evidentes hasta más adelante. Además, no existe exactamente  un conjunto específico de pautas para el cumplimiento de GDPR diseñado con los desarrolladores de API en mente. Con respecto a la industria en su conjunto, protegerse significa seguir (y solo trabajar con otras empresas que sigan) las mejores prácticas como estas:

  • Uso de SSL y cifrado de datos (tanto en tránsito como en reposo)
  • Hash de contraseña
  • Evite exponer información en URL
  • Seudonimización de cualquier dato de usuario real que se utilizará para realizar pruebas en máquinas de desarrollo o preparación
  • Considere la inclusión de marcas de tiempo en las solicitudes
  • Evite exponer las claves de API

Más allá del riesgo de violación de datos, también existe el hecho de que GDPR significa que debe poder proporcionar información sobre con quién ha compartido información personal si lo solicitan sus usuarios. Eso es ciertamente una consideración para aquellos que brindan API abiertas, ya que puede no ser necesariamente información que pueda rastrear con algún tipo de facilidad.

Lea también: Creación de API compatibles con GDPR con OpenID Connect

Cómo manejar las violaciones de datos personales

Linn define una violación de datos personales, en términos legales, como una "violación de la seguridad que conduce, por ejemplo, a la destrucción, pérdida, divulgación no autorizada o acceso a datos personales". Proporciona ejemplos de un dispositivo perdido, envío de un correo electrónico al destinatario incorrecto, un ataque de phishing exitoso o una integración fallida.

Evidentemente, ese último punto es clave cuando se habla de API. Hemos escrito antes sobre cómo una "API con fugas" puede acabar con su negocio directamente, pero las violaciones del RGPD son un ejemplo de cómo podría hacerlo también indirectamente. Es fácil ver cómo un miembro del equipo puede arriesgarse a incumplir si crea o trabaja en una API sin el conocimiento adecuado de qué datos personales tiene permitido usar legalmente.

El RGPD no solo dicta cómo se deben manejar los datos, sino también cómo se deben informar y tratar las violaciones de datos:

  • Notificación a la autoridad de control - responsabilidad del responsable del tratamiento de informar sin demoras indebidas, a más tardar 72 horas después de tener conocimiento - a menos que sea poco probable que resulte en un "riesgo para los derechos y libertades de las personas físicas"
  • Notificación a los interesados - sin demora indebida si "alto riesgo para los derechos y libertades de las personas físicas"
  • Documentación : circunstancias, efectos del incidente, medidas correctivas

Solo en Suecia, se informaron 6053 violaciones de datos personales entre el 25 de mayo de 2018 y noviembre de 2019, y la Autoridad Sueca de Protección de Datos inició investigaciones sobre los casos denunciados. Saber a quién debe informar una infracción es vital porque, como hemos visto anteriormente, el tiempo es esencial cuando ocurre una infracción. En el Reino Unido, por ejemplo, las empresas deben informar al ICO .

“Es importante saber cómo lidiar con una violación de datos personales”, dice Linn. Basado en el potencial de multas masivas, que ya hemos visto anteriormente, eso es una gran subestimación. Afortunadamente, agrega Linn, "si hay violaciones de datos, hay ciertas cosas que puede hacer para minimizar el tamaño de la multa impuesta a su empresa".

Estos incluyen cosas como demostrar que está utilizando las medidas de seguridad más actualizadas y que tiene una documentación extensa que describe el uso de su API, si una organización es un delincuente por primera vez o no y cómo maneja el informe de la infracción. Con un volumen tan grande de casos reportados y un número no especificado que no se reporta, puede ser sensato pensar en la línea de "cuándo" ocurre una violación de datos, no "si".

GDPR es el principio, no el final

Desde su introducción, GDPR parece haber inspirado leyes y regulaciones en otros países, incluidos Chile, Japón y Brasil. En particular, otros afirman haber detectado su influencia en la Ley de Privacidad del Consumidor de California , que entró en vigor a principios de 2020.

Si la adopción de una legislación similar a GDPR en California es algo por lo que pasar, los días en que las empresas estadounidenses pudieron enterrar sus cabezas en la arena parecen estar contados. Entonces, ¿qué pasos se pueden tomar para prepararse para la propagación de regulaciones al estilo GDPR? Linn sugiere lo siguiente:

  • Medidas de seguridad organizativas y técnicas
  • Educación para los empleados, que puede comenzar tan simple como explicar cómo usar bcc en lugar de cc, sobre cómo minimizar el riesgo e identificar violaciones de datos.
  • Disponga de un plan para hacer frente a una filtración de datos: evaluación de riesgos, medidas correctivas, documentación de decisiones, etc.
  • Documentación y auditorías internas, por ejemplo, sistemas de registro al nivel de la base de datos o por encima del mismo.
  • Minimización de datos: limite el alcance de una violación de datos personales eliminando datos personales, por ejemplo, cada 3 años, en lugar de mantener décadas de datos.

Con respecto a la minimización de datos y las API, es inteligente exponer solo la información que NECESITA exponer a partes autenticadas / autorizadas. Cierre los puntos finales de forma predeterminada con la delegación basada en los ámbitos de OAuth para que coincidan con la identidad. Anteriormente, escribimos sobre cómo OAuth es su mejor amigo cuando se trata de proteger su API con seguridad de grado financiero.

Específicamente para las API, sabemos que se transmite una gran cantidad de información confidencial entre aplicaciones a diario. Equilibrar la naturaleza pública de las API con el intercambio de datos es complicado. Pero no olvidemos el ejemplo de Marriott citado anteriormente; no es solo su (s) propia (s) API (s) en lo que debe pensar cuando se trata del cumplimiento de GDPR. Debe asegurarse de que los servicios con los que se está integrando también sean compatibles.

Si no puede estar seguro de que ese sea el caso, es posible que desee pensar si su empresa podría pagar las multas antes citadas antes de decidir hacer negocios con ellos.

Publicar un comentario

0 Comentarios