La conformidad de los datos es el acto de procesar y gestionar datos personales y sensibles de forma que se cumplan los requisitos reglamentarios, las normas del sector y las políticas internas de seguridad y privacidad de los datos.
Los estándares de conformidad de los datos pueden variar según el sector, la región y el país, pero a menudo implican objetivos similares. Estos objetivos pueden incluir:
- Garantizar la exactitud de los datos
- Ofrecer a los ciudadanos transparencia y conocimiento de sus derechos en materia de datos
- Protección de información confidencial, como datos personales e información de tarjetas de crédito, contra accesos no autorizados o infracciones de datos
- Seguimiento del almacenamiento de datos, incluido el tipo de datos que almacena una organización, cuántos almacena y cómo se gestionan a lo largo de su ciclo de vida.
Algunas de las regulaciones de cumplimiento de datos más comunes incluyen el Reglamento General de Protección de Datos (GDPR), la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) y la Ley de Privacidad del Consumidor de California (CCPA).
El incumplimiento de estas normativas puede aumentar los riesgos de ciberseguridad y costar a las organizaciones importantes multas, sanciones legales y daños a su reputación. Por esta razón, la conformidad de los datos se considera a menudo un componente crítico de la estrategia general de gobierno de datos y gestión de riesgos de una organización.
Cumplimiento de los datos frente a cumplimiento de la seguridad de los datos
La conformidad de los datos se denomina a veces erróneamente conformidad de la seguridad de los datos, que está estrechamente relacionada con la conformidad de los datos pero constituye un subconjunto más pequeño dentro de ella.
Mientras que la conformidad de los datos abarca el conjunto más amplio de normas y reglamentos que las organizaciones deben cumplir al manejar datos, la conformidad de la seguridad de los datos se centra específicamente en los aspectos de seguridad de la gestión de datos, incluida la protección de los datos frente a accesos no autorizados, infracciones y otras amenazas a la seguridad mediante la aplicación de soluciones de seguridad de datos, como cifrado, controles de acceso, firewalls, auditorías de seguridad, etc.
Dicho de otro modo, la conformidad de los datos incluye todos los aspectos de la conformidad de la seguridad de los datos, mientras que la conformidad de la seguridad de los datos no incluye todos los aspectos de la conformidad de los datos.
Obtenga información para prepararse y responder a los ciberataques con mayor velocidad y eficacia con el índice de IBM Security X-Force Threat Intelligence.
Regístrese para recibir el informe "Coste de una filtración de datos"
Explore el cumplimiento de datos con IBM Security Guardium Insights
Para comprender la importancia de la conformidad de los datos, pensemos en nuestra era de big data. Cada vez que alguien pulsa una pantalla, navega por un sitio web o pasea por la calle, smartphone en mano, deja un rastro creciente de datos personales. Al mismo tiempo, las organizaciones están cambiando hacia servicios en la nube y aplicaciones digitales como parte de su transformación digital y acumulando conjuntos de datos cada vez mayores. Como es lógico, todos estos datos pueden ser increíblemente valiosos para las organizaciones, ya que les ayudan a convertirlos en información para tomar mejores decisiones empresariales.
Sin embargo, una mayor cantidad de datos también implica una mayor cantidad de vulnerabilidades y una superficie más amplia para los ciberataques. Según el Informe "Coste de una filtración de datos" de IBM, el coste medio mundial de una vulneración de datos en 2023 fue de 4,45 millones de dólares, lo que supone un aumento del 15 % en tres años.
La conformidad de los datos ayuda a mitigar estas amenazas y a mantener a salvo los datos de los clientes. Establece un conjunto de controles (o normas de conformidad de los datos) que las organizaciones y las personas deben seguir al manejar datos. El objetivo de estos requisitos de conformidad es crear salvaguardias que protejan la privacidad de los datos y eviten su uso indebido. La conformidad de los datos también puede ayudar a organizaciones y particulares a desarrollar políticas y procedimientos para manejar los datos de forma más responsable.
Debido a estos numerosos beneficios, las organizaciones suelen invertir en la conformidad de los datos de forma voluntaria y proactiva, no sólo por necesidad. Las organizaciones reconocen que la conformidad de los datos puede ayudarles a fomentar la confianza de los clientes y construir su reputación como administradores transparentes y responsables de los datos personales.
Es más: el cumplimiento de datos suele ayudar a las empresas a aumentar su seguridad y mejorar su eficacia y rentabilidad. Las empresas pueden reforzar de forma más eficaz las vulnerabilidades que las exponen a un mayor riesgo de vulneración de datos mediante la implantación de normas estrictas de cumplimiento de la legislación en materia de datos. Además, un sólido programa de cumplimiento de datos no sólo garantiza la seguridad de los datos, sino que también mantiene su precisión y reduce los costosos errores. Con una gestión de datos eficaz, las organizaciones no sólo reducen el tiempo y los recursos dedicados a la detección y la corrección de datos, sino que también son más eficientes y ágiles a la hora de extraer información de sus propios conjuntos de datos.
Muchas organizaciones también descubren que contar con un sólido programa de cumplimiento de datos facilita el cumplimiento de los estándares de cumplimiento de protección de datos, que se han actualizado con más frecuencia que en el pasado. Estas normas incluyen SOC 2, CSA STAR, ISO 27001, National Institute of Standards and Technology (NIST) 800-53, etc.
A medida que los gobiernos y otras entidades siguen centrándose en la seguridad de los datos, ha ido creciendo el número de normativas sobre privacidad y conformidad de datos que las empresas deben cumplir para hacer negocios con sus clientes objetivo.
Algunos de los reglamentos y normas más comunes en materia de conformidad de datos son:
La Ley de Portabilidad y Responsabilidad del Seguro Médico, o HIPAA, es un texto legislativo crucial que se aprobó en Estados Unidos en 1996. Establece las directrices sobre cómo las entidades sanitarias y las empresas manejan la información sanitaria de los pacientes para garantizar su confidencialidad y seguridad.
Todas las entidades que entran en la categoría de "entidades cubiertas", según la definición de la HIPAA, deben respetar las normas de seguridad de datos y conformidad de la HIPAA. Estas entidades abarcan no sólo a los proveedores sanitarios y los planes de seguros, sino también a los asociados comerciales con acceso a la PHI, incluidos los proveedores de servicios de transmisión de datos, los proveedores de servicios de transcripción médica, las empresas de software, las compañías de seguros, etc.
El Reglamento General de Protección de Datos (RGPD) es un marco integral de protección de datos promulgado por la Unión Europea para salvaguardar la información personal de sus ciudadanos.
El RGPD se centra principalmente en la información de identificación personal (PII) e impone estrictos requisitos de cumplimiento a los proveedores de datos. Obliga a las organizaciones de dentro y fuera de Europa a ser transparentes sobre sus prácticas de recopilación de datos, otorgando a las personas un mayor control sobre su PII.
Uno de los aspectos más llamativos del RGPD es su postura inflexible ante el incumplimiento. Impone multas sustanciales a quienes no se adhieran a su normativa sobre privacidad y cumplimiento de las normas sobre datos. Estas multas pueden alcanzar hasta el 4 % de la facturación global anual o 20 millones de euros, la cantidad que sea mayor.
Por este motivo, el RGPD ha provocado que las empresas de todo el mundo reevalúen sus prácticas de recopilación y tratamiento de datos, haciendo hincapié en la importancia de una conformidad y una seguridad sólidas de los datos.
La Ley de Privacidad del Consumidor de California (CCPA) es una ley de privacidad de datos histórica en Estados Unidos, similar al RGPD.
Al igual que el RGPD, también hace recaer en las empresas la responsabilidad de ser transparentes sobre sus prácticas en materia de datos y otorga a las personas un mayor control sobre su información personal. En virtud de la CCPA, los residentes en California pueden solicitar detalles sobre los datos que recogen sobre ellos las empresas, optar por no recibir ventas de datos y solicitar su supresión.
Sin embargo, a diferencia del RGPD, CCPA y muchas otras leyes estadounidenses de protección de datos son de exclusión y no de suscripción, lo que significa que las empresas pueden utilizar la información de los consumidores en California hasta que se indique específicamente lo contrario. La CCPA también se aplica únicamente a las empresas que superan un umbral específico de ingresos anuales o manejan grandes volúmenes de datos personales, lo que la hace pertinente para muchas empresas californianas, aunque no para todas.
Desde la entrada en vigor de la CCPA, las organizaciones han reevaluado activamente sus procesos de tratamiento de datos y han adoptado estrategias integrales de protección de datos para cumplir los requisitos de conformidad.
La Ley Sarbanes-Oxley (SOX) es un texto legislativo promulgado en respuesta a escándalos empresariales como los de Enron y WorldCom. Su principal objetivo es aumentar la transparencia y la responsabilidad de las empresas. En virtud de la SOX, todas las empresas que cotizan en bolsa en Estados Unidos deben cumplir estrictas normas de información financiera y gobierno.
Algunas de las disposiciones más importantes de la SOX son la obligación de que los CEO y CFO certifiquen personalmente la exactitud de los estados financieros y la creación de comités de auditoría independientes. La SOX también introduce rigurosas medidas de control interno para garantizar la fiabilidad de los datos financieros, al tiempo que aumenta significativamente las sanciones por mala conducta empresarial y fraude.
Aunque la SOX se ocupa principalmente de los informes financieros, sigue siendo una consideración de cumplimiento vital, y las organizaciones de TI deben ser conscientes de ello para garantizar informes financieros precisos y oportunos.
La Norma de Seguridad de Datos del Sector de Tarjetas de Pago (PCI-DSS) es un conjunto de directrices normativas para salvaguardar los datos de las tarjetas de crédito. A diferencia de las normativas impuestas por los gobiernos, la norma PCI-DSS consiste en compromisos contractuales aplicados por un organismo regulador independiente conocido como Consejo de Estándares de la Industria de la Industria de Pago.
La norma PCI-DSS se aplica a cualquier empresa que maneje datos de titulares de tarjetas, ya sea mediante su aceptación, almacenamiento o transmisión. Aunque un servicio de terceros intervenga en las transacciones con tarjeta de crédito, la empresa sigue siendo responsable del cumplimiento de la norma PCI-DSS y debe tomar las medidas necesarias para gestionar y almacenar de forma segura los datos de los titulares de tarjetas.
Los siguientes pasos pueden ayudar a las organizaciones a establecer un sólido programa de cumplimiento de datos que satisfaga los requisitos de conformidad y proteja la información sensible.
Muchas de ellas son medidas que las organizaciones pueden adoptar inmediatamente, mientras que otras requieren una planificación a más largo plazo. Se espera que, con la planificación y la atención adecuadas, las organizaciones no sólo puedan cumplir las normas de conformidad de datos y garantizar la privacidad de los mismos, sino también reforzar la seguridad general de su información y protegerse a sí mismas y a sus clientes de forma más eficaz frente a las filtraciones de datos, el uso indebido de los mismos y otras formas de acceso no autorizado.
- Cumplimiento de datos: empiece por conocer las normas de cumplimiento de datos pertinentes para su organización, que generalmente dependen de su sector y ubicación geográfica.
- Inventario de datos: elabore un inventario de los tipos de datos que recopila, dónde se almacenan y quién tiene acceso a ellos.
Controles de acceso: implemente sólidos controles de acceso para restringir el acceso a los datos al personal autorizado, lo que implicará la autenticación de usuarios, el acceso basado en funciones y el cifrado de datos confidenciales. Un programa moderno de gestión de identidades y accesos puede ayudar en este sentido.
Almacenamiento de datos: tome medidas para garantizar que sus datos se almacenan de forma segura, tanto física como digitalmente, lo que puede implicar la implementación de soluciones de almacenamiento cifrado, cortafuegos y registros de acceso.
Formación sobre cumplimiento: instruya al personal sobre el cumplimiento de datos para asegurarse de que comprenden la normativa y la importancia de la protección de los datos. Las sesiones de formación periódicas también pueden ayudar a todos a mantenerse informados sobre buenas prácticas.
Política de tratamiento de datos: establezca políticas y procedimientos de seguridad transparentes en toda su organización sobre cómo tratar los datos de forma responsable y asegúrese de que todo el mundo conoce las prácticas correctas de gestión de datos.
Auditorías periódicas: realice auditorías periódicas para verificar la eficacia y actualidad de sus medidas de cumplimiento de datos e identificar posibles vulnerabilidades y áreas que necesiten mejoras.
Plan de respuesta ante la vulneración de datos: elabore un plan de respuesta a la vulneración de datos bien definido para prepararse ante una vulneración. Saber responder con eficacia y rapidez es crucial para minimizar los daños y cumplir los requisitos de los marcos de cumplimiento.
Proteja los datos en varios entornos, cumpla la normativa sobre privacidad y simplifique la complejidad operativa.
Automatice y agilice su camino hacia la seguridad y el cumplimiento de los datos con IBM Security Guardium Insights. Descubra datos en la sombra, analice flujos de datos y detecte vulnerabilidades, protegiendo sus datos vivan donde vivan.
Ponga en marcha la conformidad de la ciberseguridad y los riesgos normativos en toda su empresa.
Permita la detección anticipada de amenazas y la rápida recuperación empresarial para ayudar a las organizaciones a cumplir los requisitos normativos.