tag:blogger.com,1999:blog-7727366960388490644.post7674658774993716491..comments2024-03-27T05:26:23.998+01:00Comments on Seguridad Apple: [Whitepaper] iPad: Puntos que se incumplen de la Ley de Protección de Datos y el Esquema Nacional de SeguridadSeguridadApplehttp://www.blogger.com/profile/17194852503448790367noreply@blogger.comBlogger49125tag:blogger.com,1999:blog-7727366960388490644.post-68995319566165979792011-02-20T20:04:48.824+01:002011-02-20T20:04:48.824+01:00@Dani Puente
Muy buenas. Como bien dices tú, los ...@Dani Puente<br /><br />Muy buenas. Como bien dices tú, los dispostivos los utilizais con un fin de rellenar cuestionarios, pero no tratáis datos y asumo que el almacenamiento es remoto. Si el almacenamiento fuera local, la cosa cambiaría y deberías tratar el dispositivo en toda la amplitud de la ley, tal y como establece el RD 1720/2007 en sus artículos 86 y 87. <br /><br />No hay que obviar el hecho de que muchas organizaciones, sí utilizan dispositivos móviles para el tratamiento de datos. Por ejemplo comerciales que llevan ficheros almacenados de clientes. O bien personas que almacenan los correos con datos de carácter personal en su dispositivos. Cuando se hace tratamiento de datos de esta manera hay que cumplir cada medida requerida por el RD. Bien nuevamente por lo establecido en el artículo 86 o el 87. Un fichero con datos de caracter personal almacenado en un sistema diferente del lugar habitual, también le corresponden las mismas medidas que el fichero original. Cuidado en este sentido con aquellos datos que son almacenados como temporales, por ejemplo con apliaciones web, porque estos temporales adquieren las mismas condiciones que el fichero y requieren las mismas medidas.<br /><br />Con el tema de control de acceso existen dispositivos en el mercado que admiten sistemas de autenticación basado en smart-card o biometría. No hay que olvidar que muchos de los sistemas empleados, son multiusuarios. <br /><br />En el caso del borrado remoto se menciona la gestión con MS Exchange tal y como menciona Apple. Sin embargo para que se pueda eliminar la información de forma remota deben darse ciertas circunstancias que no siempre se cumplen, máxime si has sido un objetivo de un ataque físicon intencionado.<br /><br />Saludos.Juan Luis Garcia Ramblanoreply@blogger.comtag:blogger.com,1999:blog-7727366960388490644.post-59525277048907715422011-02-20T12:03:01.588+01:002011-02-20T12:03:01.588+01:00Lo primero que me gustaría decir es que soy MCSA-S...Lo primero que me gustaría decir es que soy MCSA-S, MCSE-E, MCTIP, etc.. así que creo que no soy sospechoso.. (si alguien quiere mis credenciales para comprobarlo no tiene más que decírmelo). Tambien decir que, por desgracia, no he podido leerlo entero por falta de tiempo. Si digo algo que ya está resuelto más adelante en el documento pido perdón.<br /><br /> Bueno, ahora centrándome en el whitepaper.<br /><br /> Se centra sobremanera en los datos de carácter personal (DCP), y hay que tener en cuenta que una grandísima parte de la gente que lo utiliza no los trata. Por ejemplo, en mi empresa utilizamos pda’s para rellenar cuestionarios cuando estamos desplazados, en ningún momento tratamos dcp.<br /><br /> Nosotros trabajamos en base a aplicaciones hechas a medida, las cuales te solicitan user+pass, si la validación no es correcta no te permite enviar los datos a la BBDD.<br /><br /> Ante la frase: “Uno de los aspectos más significativos cuando se enciende por primera vez un dispositivo iPad, es la inexistencia por defecto de un mecanismo de control de acceso al dispositivo”, la verdad, ahora no caigo en qué dispositivos móviles si lo solicitan. Por mi trabajo he tenido que utilizar diversas PDA, y en ninguna me ha sucedido.<br /><br /> Tras una lectura en diagonal del resto del documento no me ha parecido ver alusiones positivas al tema de mobile me, mediante el cual podemos borrar completamente el dispositivo en caso de pérdida.<br /><br /> De verdad que me encantaría seguir con el tema, pero voy jodidísimo de tiempo.<br /><br />P.D.: No se si llega tarde este comentario...Dani Puentehttps://www.blogger.com/profile/16329974958945482044noreply@blogger.comtag:blogger.com,1999:blog-7727366960388490644.post-43578492116916725512011-02-14T22:16:04.493+01:002011-02-14T22:16:04.493+01:00@TyMoPHoNo.
Muy buenas, y antes que nada gracias ...@TyMoPHoNo.<br /><br />Muy buenas, y antes que nada gracias por tu comentario. Una aclaración, con respecto al documento.<br /><br />Bajo toda circunstancia el análisis lo hemos tenido en cuenta sin realizar el jailbreak del dispositivo, de tal forma que no se vulneraba las condiciones emitidas por el fabricante. Por eso en el tema de acceso al sistema de ficheros para lo bueno y para lo malo se encuentra limitado.<br /><br />El tema de Exchange, era simplemente curioso porque en la página de apple,en los documentos de seguridad se pone como mecanismo para la gestión del dispositivo a Exchange Server, "http://images.apple.com/ipad/business/docs/iPad_Security.pdf". Aunque como bien dices tú existen otros mecanismos de gestión, pero estos no se mencionan en Apple. Por ejemplo McAffe también tiene el suyo. Mi objetivo no era ni mucho menos la equiparación iPad - Windows, aunque de antemano ya sabía cuando empecé a escribir el documento, que estas harían su aparición en los comentarios :)<br /><br />Un problema que hemos visto y que ya se ha comentado, es que vemos muy forzado que un dispositivo con muchas analogías con un móvil pueda ser utilizado para el tratamiento de "determinado tipos de datos". No sería justo para otros sistemas Mac, Linux o Windows, que deben cumplir las medidas exigidas. <br /><br />SaludosJuan Luis García Ramblanoreply@blogger.comtag:blogger.com,1999:blog-7727366960388490644.post-17773651681149241462011-02-14T21:41:51.926+01:002011-02-14T21:41:51.926+01:00Antes de contestar nada, comentar que no busco mal...Antes de contestar nada, comentar que no busco malos rollos, sólo opino y creo que con todo mi respeto, si alguien se siente ofendido, que me lo haga saber, gracias.<br /><br />2.1<br />En principio, cualquier equipo o dispositivo móvil, smartphone, por defecto, no tiene ningún "juego de usuarios" creados suficientes para cubrir las necesidades de la ley, como mucho, tendrá un usuario administrador nativo/root/X y el perfil definido para el usuario final, pero esto le pasa creo que a todos los SS.OO. ya sean GNU/Linux, IOS, Windows*, RIM, etc., ¿no es así?<br /><br />Por otro lado, no hace falta depender de un MS Exchange para centralizar políticas, Lotus notes también lo hace y hay muchas aplicaciones para la gestión de políticas para este tipo de dispositivos, quizás por este tipo de comentarios, se marcó esta entrada como Microsoft-ista ;)<br /><br />2.2<br />Originalmente, estos dispositivos se desarrollan como algo personal e intransferible, se permite la opción de cifrar el contenido, pero una vez tocado este tema, casi sería mejor implantar soluciones DLP en todos los dispositivos con camacidad de almacenamiento, incluyendo fotos con interfaces USB, moviles normales con camara de fotos, y un largo etc, de nuevo, el objetivo de este punto de control, vuelve a ser el Ipad, cuando realmente aplica a todos lso dispositivos, con lo que alguien puede interpretar que esta entrada es ... Microsof-ista.<br /><br />"Se entiende que todo usuario que accede al dispositivo tendrá la capacidad total para el tratamiento de cualquier información existente en el mismo." Cualquier usuario que utilice la cuenta "mobile" podrá acceder a los recursos para los que tenga permiso, el usuario root sigue existiendo y el sistema de archivos permite el cambio de permisos, aunque para ello sea necesario lanzar un terminal o acceder por ssh al dispositivo. En cualquiera de los casos, hay herramientas para generar "jaulas" cifradas para este tipo de problemas.<br /><br />Insisto, el hecho de que el S.O. no disponga de este tipo de herramientas, no quiere decir que no existan, para eso existen empresas que desarrollan software, ¿no?, apenas hay sistemas operativos completos, que vengan de serie con una aplicación de retoque fotográfico, un compresor, un gestor de máquinas virtuales, un sniffer, un gestor de contraseñas, etc.<br /><br />2.3<br />Me remito al punto anterior, en cualquiera de los casos, la posibilidad de eliminar la información del dispositivo es la opción última aplicable en el dispositivo (en todos los demás también) que cumpliría con el tratamiento de la información. Lo que si que desconozco es el grado de seguridad de la eliminación de datos, cuantas pasadas o los métodos utilizados.<br /><br />Con respecto al tema de la seguridad del correo, si mal no recuerdo, hay herramientas como OpenPGP Lite, SecuMail, etc. aunque estoy de acuerdo con vosotros en que es un tema que deberían mejorar ;)<br /><br />2.4<br />Estoy de acuerdo con lo que comentáis, sin embargo, en base al apartado 6a/b, si partimos de la base que es un dispositivo unipersonal, creo que podría cogerse con pinzas. Hay otras tecnologías que se encargan específicamente de ello.<br /><br />Creo que la idea que más habría que repetir es la dependencia de software de otras empresas para llevar a cabo un cumplimiento más funcional de la LOPD<br /><br />La opción más tajante sería de la prohibir el acceso a información clasificada al marcarlo como dispositivo no "homologado" para el trabajo empresarial.<br /><br />#<br /><br />La parte del ENS la verdad, la he dejado un poco de lado, por temas de tiempo, pero la conclusión es la misma, el dispositivo por si mismo no cumple con todo lo necesario, pero si dispone de software externo para superar gran cantidad de sus carencias, en cualquiera de los casos, parece que el dispositivo está deseando que APPLE desarrollo un IOS Enterprise y otro Home User, ¿no creeis?<br /><br />Muy buen trabajo ;)<br /><br />Un saludo.<br /><br />PD: Prometo leerme el apartado 3 con algo más de tiempo ;)Unknownhttps://www.blogger.com/profile/11794000994999147661noreply@blogger.comtag:blogger.com,1999:blog-7727366960388490644.post-59426108852854936522011-02-14T21:30:45.899+01:002011-02-14T21:30:45.899+01:00@Anónimo.
No creo que me contradiga. Esto es lo q...@Anónimo.<br /><br />No creo que me contradiga. Esto es lo que has escrito con respecto a Apple:<br /><br />"Además Apple puede identificar sin lugar a error el nombre del usuario o dueño que ha registrado y usa el iPad por su cuenta en iTunes, cosa que no puede hacer con sus Mac ni Microsoft con sus PCs, "<br /><br />Que tiene que ver que Apple haga trazabilidad con que lo haga la empresa con respecto a datos de carácter personal. Apple puede trazar iTunes, y ... ¿de qué le vale a una empresa que debe cumplir la norma?<br /><br />Respecto al potencial uso médico del iPad, aunque tú digas que lo normal es que se haga sin guardar nada en el iPad, esto no es realmente así. Se almacenan para tratar la información localmente. <br /><br />No hay que obviar tampoco el potencial perfil de usuarios de iPad en las empresas. Principalmente usuarios móviles, que seguramente llevarán los documentos en el dispositivo en vez tener que carga con un Portátil. Por ejemplo comerciales como departamento significativo.<br /><br />Con respecto a la autenticación puedes leer también el punto 2 del artículo 93 sobre identificación, que complementa al punto 1 que citas. La frase clave en este texto es "identificación de forma inequívoca y personalizada". Un código de acceso no permite identificar de forma inequívoca al que accede.<br /><br />SaludosJuan Luis Garcia Ramblanoreply@blogger.comtag:blogger.com,1999:blog-7727366960388490644.post-32211180503635598072011-02-14T21:10:06.990+01:002011-02-14T21:10:06.990+01:00Lo del archivador es en lo referente a Identificac...Lo del archivador es en lo referente a Identificación y autenticación, no a otras consideraciones como es evidente.<br /><br />En el siguiente párrafo el mismo batido, hablamos de que el problema era solo si es o no posible el seguimiento de las transferencia de datos, que es el punto en cuestión, y con lo que tratáis de probar el incumplimiento y no cabe la prueba de inocencia, es al revés.<br /><br />En lo de Apple o Microsoft ya te contradices.<br />Es una garantía adicional, no la unica. Y si les compete pues en el sistema de usuario/contraseña quien garantiza que AD o el OS funcione bien, y no deje entrar a cualquiera es Apple o Microsoft. O le vamos a pedir al responsable del fichero que le haga una auditoria al sistema de AAA de Microsoft ??<br /><br />Respecto al potencial uso medico del IPad lo mas normal es que se haga sin guardar nada en el iPad, sino como simple terminal de un servidor remoto. El nivel de protección de los datos personales, vendría por la propia aplicación que es quien accede a ellos y los guarda (siempre encriptados). Ademas con el uso de VPN se garantiza la seguridad en la transmisión igual que en otros OS.<br /><br />Tampoco esta claro que sean datos personales las imágenes, pues se pueden impersonalizar al bajarlas al iPad para verlas o manipularlas.<br />El usuario ya sabe de quien son.<br /><br />No veo argumentaciones, y la única diferencia es no tener nombre de usuario, y como tu mismo citas el articulo 93 habla de "correcta identificación" no de con nombre de usuario o por biometría, y creo que está mas que demostrada esa condición en el iPad.<br /><br />Lo de las claves ya me hace desistir del debate, porque si te relees el documento, en la Fig 2 se ve claramente "Periodo máximo de validez del código" y lo explica en castellano como "Numero de días tras el cual debe cambiarse", mas claro no puede ser.<br /><br />Adiós.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-7727366960388490644.post-19036414142150937832011-02-14T19:41:59.415+01:002011-02-14T19:41:59.415+01:00@Anónimo
Muy buenas.
El iPad no puede tener la mi...@Anónimo<br /><br />Muy buenas.<br />El iPad no puede tener la misma consideración que un archivador metálico, puesto que el primero trata ficheros de tipo automatizado y el segundo no. Al achivador le es de aplicación otros articulados también recogidos en el RD 1720/2007. <br /><br />Hay que recordar que el hecho de que se declare en el documento de seguridad el paso de información al iPad para el tratamiento fuera de los locales, no le exime del cumplimiento de obligaciones de seguridad que exige el propio artículo y cito "deberán garantizar un nivel de seguridad equivalente al tipo de fichero tratado". También el artículo 87, establece que una copia de fichero debe cumplir los niveles de seguridad establecidos en función del tipo de fichero.<br /><br />Los responsables de la autenticación y trazabilidad no pueden ser ni Apple, ni Microsoft, sino la empresa responsable. "Artículo 93. El responsable del fichero o tratamiento deberá adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios". <br /><br />Con respecto al uso del iPad, existen usos que se dan en el ámbito sanitario donde los informes médicos se almacenan en los dispositivos, para la realización de las visitas. Es más en circunstancias estos dispositivos serán compartidos para la prestación del servicio. De hecho se han desarrollado aplicaciones para almacenar y analizar, resonancias, radiografías, etc. Estos datos son de nivel alto, y se tratan en los iPad.<br /><br />Con respecto a las claves, el artículo 93.4 establece la necesidad, de además del cambio periódico no superior a un año, que estas se almacenen en formato no legible.<br /><br />@María Rosa. <br /><br />Eso está hecho.<br /><br />SaludosJuan Luis García Ramblanoreply@blogger.comtag:blogger.com,1999:blog-7727366960388490644.post-90987610021044618842011-02-14T19:14:09.413+01:002011-02-14T19:14:09.413+01:00Para maligno, Anónimo no es uno, y Anonimous son m...Para maligno, Anónimo no es uno, y Anonimous son muchos mas :). No he insultado, ni hablado antes, pero bueno entiendo como van estos debates.<br />Respecto a lo del usuario, le puedes poner como fondo de la pantalla de inicio una captura de la pantalla de windows, linux o macos con tu foto y nombre de usuario, pero no veo diferencia entre el iPad y otro OS con una sola cuenta de usuario. Además Apple puede identificar sin lugar a error el nombre del usuario o dueño que ha registrado y usa el iPad por su cuenta en iTunes, cosa que no puede hacer con sus Mac ni Microsoft con sus PCs, pues no se registran para activarlos ni actualizarlos.<br /><br />Respecto a la consideración de Juan Luis, decir que el iPad se podía contemplar del mismo modo que un archivador metálico personal con llave.<br />Es un fichero para la ley, pero no tiene un login o nombre de usuario por ser personal, o sea de un dueño que es tan responsable de dejarlo abierto, como de dejar el iPad desbloqueado o su PC en su cuenta.<br /><br />La "trazabilidad" es máxima porque no hay duda sobre su propietario y único usuario, y como dispositivo portátil que es, al pesarle datos está sujeto a la autorización previa del articulo 86 por lo que ya constará en el documento de seguridad.<br />Si el acceso se hace por red, deben ser los servidores los que pidan la información necesaria para poder garantizar quien y como accede a los datos que contienen.<br /><br />Sobre las claves, no hay mucha diferencia con las de un PC con cualquier OS, en ese articulo se habla de una utilidad de iOS, pero podríamos hablar también de la herramienta similar de firefox, mucho mas vulnerable que esa, y disponible en windows, linux y macos.<br />Hay herramientas para reforzar esa seguridad, como se dice en ese documento, véase http://support.apple.com/kb/HT4175.<br />Lo discutible es que sea necesario para todos los usuarios. Cuantos Windows tiene autologin y cuantos tienen permisos básicos y no ACLs.<br /><br />Lo importante no es la clave, sino los datos y puedes llevarlos en iPad con la misma encriptación que en un PC o Mac, pues ademas el iPad ofrece por hardware encriptación basada en AES de 256-bit, otra cuestión es que las aplicaciones la usen o no.<br /><br />Por otra parte es evidente que no vas a tener el fichero de datos solo en el iPad, y que datos de nivel alto no son susceptibles de ponerlos en un iPad, como no los pondríamos en una llave USB o en un teléfono móvil. Creo que esto no resta utilidad al iPad en un entorno corporativo o empresarial, pero como con los datos cada cual en su calidad.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-7727366960388490644.post-44201179072390421532011-02-14T18:56:14.115+01:002011-02-14T18:56:14.115+01:00Cómo me gusta una buena "discusión" a la...Cómo me gusta una buena "discusión" a la americana, compartiendo y debatiendo puntos diferentes de ver las cosas.<br /><br />Pero creo que ha llegado el momento de trasladar esta charla delante de un café, al que por supuesto yo invito :-)<br /><br />Gracias por debatir, un abrazo a todos. :)Maria Rosanoreply@blogger.comtag:blogger.com,1999:blog-7727366960388490644.post-2635899329092169832011-02-14T17:33:47.237+01:002011-02-14T17:33:47.237+01:00Muy buenas. La interpretación es la correspondient...Muy buenas. La interpretación es la correspondiente al RD 1720/2007. Este exige que exista mecanismo de autenticación que permita identificar al usuario cuando más de un usuario trate los ficheros de carácter personal. Si es solo uno no hay problema. Creo que la circunstancia no es que el dispositivo sea o no monousuario, si no, si el acceso a los datos de carácter personal sea para más de una persona, que es lo que establece la LOPD en toda cicunstancia. Por ejemplo en la trazabilidad del acceso a la información cuando los datos sean de nivel alto, si más de un usuario puede acceder a los datos personales, la trazabilidad es exigible. si accede solo un usuario y es el responsable del fichero, no será necesaria.<br /><br />Por lo tanto la seguridad no lo debe imponer como criterio el tipo de dispositivo, sino el tratamiento de los datos de carácter personal.<br /><br />En lo corcerniente a si es necesario pin o clave más compleja, la LOPD no estable el criterio, solamente que debe existir y debe almacenarse en formato no legible. Cuidado en este sentido puesto que determinadas credenciales son almacenadas en texto plano, tal y como se recogio en este mismo blog en el artículo "Si pierdes un iPhone o un iPad, pierdes las password".<br /><br />Saludos.Juan Luis Garcia Ramblanoreply@blogger.comtag:blogger.com,1999:blog-7727366960388490644.post-37061879111280033602011-02-14T17:27:29.451+01:002011-02-14T17:27:29.451+01:00@Anónimo, en primer lugar te contesto y no te borr...@Anónimo, en primer lugar te contesto y no te borro los comentarios, pero te agradecería que no insultaras, como has hecho en el otro post.<br /><br />Respecto a este comentario, he de decirte que no todos los iPad deben estar monitorizados por las compañías de teléfono. Yo sé que a muchos les gustaría que así fuera, pero el ENS no lo permite en muchos entornos, además de que por algo se vende el iPad sin 3G.<br /><br />Respecto a tu idendificación que haces de un usuario, es evidente que la LOPD no la hace así. Por supuesto, un iPad puedes contemplarlo como un teléfono móvil sin usuarios administrados, y, como tal, deberás actuar en consecuencia y no permitir el acceso a ciertas aplicaciones para cumplir la LOPD.<br /><br />Por último, que el código sea complejo o el básico de 4 dígitos, haría bajo tu punto de vista lucir más "la seguridad" de iPad, pero es irrelevante a la hora de gestionar la trazabilidad de los datos de un usuario. No obstante, agradecemos esa puntualización.<br /><br />Saludos!Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-7727366960388490644.post-20286233437008215312011-02-14T16:32:49.836+01:002011-02-14T16:32:49.836+01:00En el punto 2.1 creo que se esta haciendo una inte...En el punto 2.1 creo que se esta haciendo una interpretación del iPad desde un punto de vista de un PC o un Mac.<br />El iPad, como por defecto ya indica el nombre que se le da, es el iPad de su dueño. NO es un dispositivo multiusuario, sino monousuario, y su dueño no solo se identifica por el nombre que da al "iPad de fulanito", sino que ademas esta identificado y registrado en iTunes y en su caso con su operador telefónico.<br />Por otra parte no es mas inseguro que un PC con una cuenta de usuario abierta, pues tener un codigo de usuario no garantiza que sepamos que persona lo usa, sino mas bien lo contrario, y como los PCs dispone de mecanismo de autobloqueo con contraseña.<br />Por ultimo comentar que la captura de la pantalla de bloqueo (Fig 3) no es la mas adecuada pues podría llevar a pensar que solo se puede emplear un pin numérico, y no es así como se indica en el mismo documento, se puede emplear el teclado completo del iPad igual que en un PC o Mac, con las mismas restricciones de tamaño y composición por tipo de caracteres de la clave o contreseña.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-7727366960388490644.post-86621802074500847572011-02-14T15:43:12.207+01:002011-02-14T15:43:12.207+01:00Muy buenas María Rosa.
El control que se realiza ...Muy buenas María Rosa.<br /><br />El control que se realiza sobre el blog, es muy significativo desde el punto de vista de la LOPD. Me explico. Informática 64 no tiene control alguno con la información de acceso de tipo personal que se realiza a este blog. La información de usuarios y direccionamiento IP, se almacena en una base de datos fuera del alcance de la administración y tratamiento por parte de Informática 64. <br /><br />Cualquier persona que tenga cuenta en Google, puede subir comentarios, editarlos o eliminarlos. En caso de querer crear o modificar el perfil, eliminarlo o acceder a la información que de él se maneje como su direccionamiento IP, es Google la entidad que posee dicha información, no Informática 64. Informática 64 no presta servicio porque no posee, ni gestiona, ni trata la información de tipo personal.<br /><br />Un saludo.<br /><br />Pd. Con este último comentario cierro por mi parte este tema, puesto que creo que estamos desvirtuando el objetivo del post.Juan Luis GarcíaRamblanoreply@blogger.comtag:blogger.com,1999:blog-7727366960388490644.post-85957640678601727662011-02-14T12:25:38.334+01:002011-02-14T12:25:38.334+01:00Juan Luis, con todo mi cariño, eso sería así si el...Juan Luis, con todo mi cariño, eso sería así si el dominio fuera seguridadapple.blogger.com<br /><br />Al estar bajo el dominio seguridadapple.com, bajo propiedad de informatica64, el servicio lo prestais vosotros, useis el CMS que useis.<br /><br />Un abrazo a todo el equipo :-)María Rosanoreply@blogger.comtag:blogger.com,1999:blog-7727366960388490644.post-50499044551011992402011-02-14T11:12:21.225+01:002011-02-14T11:12:21.225+01:00@Maria Rosa.
Con respecto a los blogs, hay que ten...@Maria Rosa.<br />Con respecto a los blogs, hay que tener en cuenta que el cumplimiento del LOPD requiere estar en condición de cumplir una serie requisitos para su cumplimentación. Concretamente en este sentido con el blog de Seguridad Apple, no existe un acuerdo contractual con cualquiera que accede, ni desde aquí se tiene la capacidad de gestionar la cuenta, el acceso o conocer la dirección IP del que accede, cuestión que implica a Google por estar alojado en blogspot. Por lo tanto si un usuario quiere ejercer sus derechos ARCO, lo hará en este caso hacia Google. <br /><br />Es por tanto Google la que en base a los acuerdo internacionales que se mantienen con EEUU presta el servicio y debe cumplimentar las normativas exigibles. Es google la que tiene la capacidad final para cerrar un blog, por ejemplo por demanda judicial. El blogger no deja también ser partícipe del sistema al mantener un contrato con Google como usuario del sistema.<br /><br />Un saludoJuan Luis Garcia Ramblanoreply@blogger.comtag:blogger.com,1999:blog-7727366960388490644.post-15358324100329130572011-02-14T10:42:01.612+01:002011-02-14T10:42:01.612+01:00@Maria Rosa.
No todo dispositivo incumple normativ...@Maria Rosa.<br />No todo dispositivo incumple normativas como LOPD o el ENS, solamente hay que utilizarlos en su justa medida. En el tratamiento de datos locales, un dispositivo como el iPad no permite en su inicio de sesión el uso de credenciales. El uso de un elemento como clave de acceso único no permite la diferenciación de usuarios, cuestión que era válida para el antiguo Real Decreto de desarrollo vinculado a la LORTAD para ficheros de nivel básico, pero no en el RD 1720/2007 que es exigible desde el nivel básico. El objetivo fundamental es la capacidad para diferenciar las acciones vinculadas a usuarios. Los sistemas con cuentas genéricas no deben utilizarse, salvo que exista un único usuario del tratamiento y este sea además el responsable.<br /><br />Un sistema MAC, como un Linux o un Windows, si permiten el cumplimiento de esta medida. iPad y otros dispositivos, no. Otra cuestión es que la desidia de los usuarios o la de las empresas no exija que se haga en las estaciones de trabajo, aunque haya mecanismos que permitan dicho cumplimiento.Undercoderhttps://www.blogger.com/profile/03985573451245056476noreply@blogger.comtag:blogger.com,1999:blog-7727366960388490644.post-40906679353431486582011-02-14T10:26:48.589+01:002011-02-14T10:26:48.589+01:00Chema, las opiniones como bien decía tu compañero ...Chema, las opiniones como bien decía tu compañero son muy subjetivas, y se con certeza que respetas las mias.<br /><br />He leido el documento, y sabes lo que pensaba mientras lo hacía?. Que por un "error" del iPad había muchos más de Windows.<br /><br />Si os habeis sentido atacados lo siento, no era mi intención, simplemente expreso mis sensaciones.Maria Rosanoreply@blogger.comtag:blogger.com,1999:blog-7727366960388490644.post-38257796805245981302011-02-14T10:21:32.800+01:002011-02-14T10:21:32.800+01:00@María Rosa, me alegra que te acuerdes de mis demo...@María Rosa, me alegra que te acuerdes de mis demos }:)) De todas formas, usar Firesheep y Wireshark para robar cookies de sesión y hacer un hijacking. Sin embargo, eso no tiene nada que ver con la LOPD.<br /><br />Respecto a este blog, me encargaré de decirles que revisen todos los aspectos para cumplir la LOPD. Creo que se puede hacer con Blogger sin ningún problema, así que en la información de contacto añadiremos lo que falte.<br /><br />Por último, insistes en menospreciar el documento porque lo haya escrito un experto en tecnologías Microsoft. Te olvidas de que Juan Luís es experto en LOPD, LSSI y ENS. <br /><br />En todos tus comentarios atacas a mi empresa y a las personas, pero nunca al documento. ¿Por qué María Rosa? <br /><br />¿Tienes algún problema o interés con el documento en cuestión? ¿Tendremos que revisar tus filiaciones para entender tus comentarios? ¿No crees que sería un debate mucho más productivo si nos centramos en el documento?<br /><br />En este blog hemos hablado de muchas cosas de seguridad de apple, fallos, herramientas de fortificación, hacking, hardening, etc... ¿No crees que descalificarlo por que nuestra empresa vendar MS Office para Mac es un poco simplista?<br /><br />Saludos Malignos de Chema Alonso.Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-7727366960388490644.post-53892948446901184352011-02-14T10:09:17.835+01:002011-02-14T10:09:17.835+01:00@bernardociriza
Puedes preguntar a la AEPD (901 1...@bernardociriza<br /><br />Puedes preguntar a la AEPD (901 100 099) y quedarás asombrado :-)<br /><br />P.D.: Las personas usan hardware.Maria Rosanoreply@blogger.comtag:blogger.com,1999:blog-7727366960388490644.post-58502109749061599932011-02-14T10:06:09.049+01:002011-02-14T10:06:09.049+01:00La LOPD es tan picajosa que todo dispositivo lo in...La LOPD es tan picajosa que todo dispositivo lo incumple, no hay duda.<br /><br />Recuerdo a Chema Alonso, vuestro director, en un evento, que ante cientos de personas demostró cómo se podía acceder a los portatiles de todos los asistentes vía la wifi del evento.<br /><br />Y te aseguro que muchos de ellos usaban PC portatiles :)<br /><br />He de reconocer que vería con otros ojos este estudio si a su autor no se le citara en varias webs como "Rambla es un experto en seguridad TIC que trabaja mano a mano con Microsoft" http://www.borrmart.es/articulo_redseguridad.php?id=1840<br /><br />También lo vería con otros ojos si la empresa dueña de este blog no fuera partner de Microsoft, ni tuviera publicidad de MS.<br /><br />También si, siendo partner de MS, creara la web "Seguridadmicrosoft.com"<br /><br />Todo ello, efectivamente, me condiciona a creer en la idependencia del documento.<br /><br />P.D.: Acordaros de poner la información que exige la LOPD en esta web. Como veis, hasta en las mejores familias la incumplen :-)María Rosanoreply@blogger.comtag:blogger.com,1999:blog-7727366960388490644.post-48885508179470333342011-02-14T09:43:17.589+01:002011-02-14T09:43:17.589+01:00@María Rosa
Según la LOPD Artículo 3 g)
Encargado ...@María Rosa<br />Según la LOPD Artículo 3 g)<br />Encargado del tratamiento: La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.<br /><br />A mi esto no me parece la definición de un dispositivo (ni de apple, ni un PC con Windows), ni un cuaderno con apuntes...Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-7727366960388490644.post-22757290606661676672011-02-14T07:04:53.899+01:002011-02-14T07:04:53.899+01:00@María Rosa, el documento tiene opiniones y anális...@María Rosa, el documento tiene opiniones y análisis acorde de leyes que hemos plasmado en él. Las opiniones son subjetivas, al igual que tus comentarios, pero la parte acorde de ley no es nada parcial, es comprobable.<br /><br />Saludos!SeguridadApplehttps://www.blogger.com/profile/17194852503448790367noreply@blogger.comtag:blogger.com,1999:blog-7727366960388490644.post-2682050776993329242011-02-13T23:46:27.478+01:002011-02-13T23:46:27.478+01:00Yo no mato al mensajero, sólo pienso que no es muy...Yo no mato al mensajero, sólo pienso que no es muy imparcial.<br /><br />Venga, un saludo. :-)Maria Rosanoreply@blogger.comtag:blogger.com,1999:blog-7727366960388490644.post-67211144766681604732011-02-13T23:14:28.879+01:002011-02-13T23:14:28.879+01:00@María Rosa, eso que acabas de comentar no tiene n...@María Rosa, eso que acabas de comentar no tiene ningún sentido. Que puedas poner un código no te permite cumplir la LOPD. Tu comentario es un insulto a los auditores de LOPD.<br /><br />Por favor, lee el documento que hemos publicado y dejar de intentar matar al mensajero, que parece que es el único argumento que te ha quedado. En él encontrarás un tratamiento al código de acceso del iPad en muchas partes.<br /><br />Saludos!SeguridadApplehttps://www.blogger.com/profile/17194852503448790367noreply@blogger.comtag:blogger.com,1999:blog-7727366960388490644.post-25723529378359009932011-02-13T20:16:50.639+01:002011-02-13T20:16:50.639+01:00@seguridadApple
:-) Decir que asesinar es un deli...@seguridadApple<br /><br />:-) Decir que asesinar es un delito no es abogar por asesinar :-)<br /><br />Puedes proteger el acceso al iPad mediante contraseña: Ajustes / General / Bloqueo con código.<br /><br />Por favor, aunque este blog (con publicidad de Microsoft) sea de un partner de Microsoft, se llama "Seguridad Apple"y deberíais saber algo así...Maria Rosanoreply@blogger.com