Si un pirata informático roba datos que guardo en un servidor, ¿puedo ser responsable por la ley de protección de datos del Reino Unido? [cerrado]

2

Mientras escribía un ensayo, se me ocurrió esta pregunta. Si un pirata informático roba los datos que guardo en un servidor, ¿puedo ser responsable por la ley de protección de datos del Reino Unido?

Por ejemplo, tengo direcciones de clientes en mi servidor y creo que tomé las precauciones correctas para detener a los piratas informáticos (por ejemplo, cortafuegos, cifrado adecuado, todo lo que es necesario) a pesar de que un pirata informático utiliza un nuevo método de piratería. y roba esos datos para luego venderlos.

¿Podré entonces ser responsable por el uso de la ley de protección de datos?

    
pregunta Alex Wilson 12.01.2017 - 16:52
fuente

2 respuestas

3

IANAL, pero parece que no puede ser responsable por una violación de datos siempre que:

  • puede demostrar que tomó las medidas adecuadas para evitar que se acceda a los datos,

  • revisa periódicamente estas medidas para asegurarse de que estén actualizadas, y

  • usted trata las violaciones de una manera adecuada (incluida la información a las personas afectadas)

Aquí hay un par de extractos del sitio web ico.org.uk sobre el tema:

¿Qué dice la Ley de Protección de Datos sobre el derecho? ¿A la compensación?

  

Si una persona sufre daños porque ha violado la Ley, tiene derecho a reclamar una indemnización de su parte. Este derecho solo puede ser aplicado a través de los tribunales. La Ley le permite defender un reclamo de compensación sobre la base de que tomó todas las precauciones razonables en las circunstancias para evitar el incumplimiento.

¿Qué dice la Ley de Protección de Datos sobre la seguridad de la información?

  

La Ley de Protección de Datos dice que:

     
    

Se tomarán las medidas técnicas y organizativas adecuadas contra el procesamiento no autorizado o ilegal de datos personales y contra la pérdida, destrucción o daño accidental de los datos personales.

  
     

Este es el séptimo principio de protección de datos. En la práctica, significa que debe contar con la seguridad adecuada para evitar que los datos personales que posee se comprometan accidental o deliberadamente. En particular, deberá:

     
  • diseñe y organice su seguridad para adaptarse a la naturaleza de los datos personales que posee y al daño que puede resultar de una violación de la seguridad;

  •   
  • tenga claro quién es responsable en su organización de garantizar la seguridad de la información;

  •   
  • asegúrese de tener la seguridad física y técnica adecuada, respaldada por políticas y procedimientos sólidos y un personal confiable y bien capacitado; y

  •   
  • esté preparado para responder a cualquier violación de seguridad de manera rápida y eficaz.

  •   
    
respondido por el squeamish ossifrage 12.01.2017 - 17:50
fuente
1

Descargo de responsabilidad No soy un abogado.

La parte principal de la pregunta es ciertamente más sobre el tema en law.se, pero tiene implicaciones de seguridad de TI.

Supongo que la parte legal finalizará: usted es responsable de la seguridad de los datos a menos que pueda probar que ha utilizado todas las medidas apropiadas.

Y estoy bastante seguro de que, salvo en algunos casos especiales (en su mayoría datos relacionados con la salud), las medidas apropiadas no aparecen en la lista ... E incluso cuando algunos lo están, debería tener una política de seguridad detallada que describa precisamente lo que se hace, cuándo y cómo y quién está a cargo de ello. Eso puede ser peligroso si su nivel de seguridad es bajo porque será visible. Pero podría ayudar porque si se conocen las reglas de seguridad, podrá probar lo que ha hecho para evitar la piratería.

Entre las preguntas:

  • ¿Qué pasa con la seguridad física?
  • ¿existe una segregación limpia entre las máquinas de producción y las no de producción, cómo se implementa?
  • ¿existe una segregación física entre la red de producción y la red de no producción, cuáles son las reglas de firewall en las uniones?
  • ¿Cómo se implementa la protección periférica, firewalls, proxies inversos, etc.?
  • ¿Qué pasa con la protección en profundidad (qué sucede si una máquina o aplicación se compromete)?
  • ¿quién tiene acceso en las máquinas de producción y con qué privilegios?
  • ¿Los administradores y operadores tienen conocimiento de las amenazas de seguridad de TI y cómo?
  • ¿qué pasa con la política de copia de seguridad?
  • en caso de administración remota, ¿cuáles son los procedimientos de autenticación remota?
  • ¿Se revisan esos procedimientos, cuándo, quiénes y se proponen y configuran las acciones?
  • ¿hay algún seguimiento de esas acciones?
  • ¿hay un agente de seguridad en su organización y cómo puede él / ella mantener sus competencias?

No espero que la lista anterior sea exhaustiva, pero si solo dices eh ... al enfrentarte a uno, será difícil fingir que has tomado todas las medidas apropiadas ...

    
respondido por el Serge Ballesta 12.01.2017 - 18:15
fuente

Lea otras preguntas en las etiquetas