Cómo lograr la conformidad de GDPR con FIDO

Sarah Van De Vyver, 12 de Diciembre de 2018

El GDPR lleva seis meses en vigor y, como ciudadano de la UE, he observado los requisitos de cumplimiento del GDPR en acción. Me han bombardeado con correos electrónicos y formularios de consentimiento solicitando permiso para compartir mis datos personales, para todo, desde las empresas online a las que hago pedidos, hasta los colegios de mis hijos.

A través de un marco legislativo de la UE, el RGPD tiene consecuencias de gran alcance en todo el mundo. Todas las organizaciones que operan, almacenan o procesan los datos de los ciudadanos de la UE están sujetas a los requisitos del RGPD. Eso no significa que todas las organizaciones afectadas estén preparadas y sean conformes. Los que no lo son siguen temiendo las fuertes multas y sanciones asociadas al incumplimiento, llegando a publicar en línea mensajes como: " Nos damos cuenta de que está visitando este sitio web desde fuera de Estados Unidos y, por tanto, no podemos mostrar esta información".

Hasta ahora no se han impuesto multas, ya que las distintas autoridades de protección de datos están adoptando una postura más indulgente y dando tiempo a las empresas para que se adapten a las nuevas normas. Sin embargo, se espera que los primeros casos de sanción se produzcan en breve. Lo que nos lleva a preguntarnos cómo implementar las soluciones adecuadas para asegurarnos de que cumplimos con los requisitos del GDPR Y, ¿cómo evitará trasladar la carga del cumplimiento a sus clientes?

La respuesta es sencilla: FIDO. FIDO cumple con los requisitos de cumplimiento del GDPR por diseño. Se trata de un marco de autenticación basado en estándares y revisado por innumerables expertos del sector. El impulso de FIDO para hacer la autenticación más fuerte y sencilla (con énfasis en la privacidad) también garantiza que la experiencia del usuario esté libre de fricciones innecesarias.

Para explicar por qué la autenticación FIDO es una buena opción para lograr el cumplimiento del GDPR, veamos más de cerca algunos de los requisitos clave: protección de datos, captación del consentimiento y autenticación biométrica.

Requisitos de cumplimiento del GDPR para la protección de datos

Hay varios artículos en la legislación del RGPD que hacen referencia a la seguridad de los datos, cada uno de los cuales trata diferentes aspectos, como la minimización de los datos, la integridad, la confidencialidad y la notificación de las violaciones de los datos. Todos estos principios forman el núcleo de lo que podemos describir como protección de datos. En definitiva, se trata de que las empresas estén obligadas a aplicar garantías de protección de datos. La forma más fácil de lograrlo es implementando una fuerte autenticación multifactorial (MFA).

Una simple combinación de nombre de usuario y contraseña ya no es suficiente, ya que las contraseñas pueden ser fácilmente robadas o explotadas. La Agencia de Seguridad de las Redes y de la Información de la Unión Europea (ENISA), que asesora a los Estados miembros y a las organizaciones del sector privado sobre la aplicación de la legislación de la UE, recomienda encarecidamente el uso de la autenticación de dos factores (2FA) para salvaguardar los datos personales. Un ejemplo de segundo factor sería una contraseña de un solo uso (OTP) generada por un token de hardware o a través de la autenticación de software en un dispositivo móvil. La autenticación de dos factores proporciona una capa secundaria de seguridad que dificulta el acceso de los piratas informáticos a los dispositivos y las cuentas en línea de los usuarios.

Algunas formas de AMF son más seguras que otras. La autenticación por SMS se considera una forma de autenticación más débil, ya que la OTP puede ser interceptada. Por ello, el Instituto Nacional de Estándares y Tecnología clasificó la autenticación por SMS como "restringida" en sus últimas directrices. Para mejorar realmente la seguridad de las cuentas, FIDO ofrece una autenticación sólida y basada en estándares que aprovecha la criptografía de clave pública (PKI), en la que se genera un par de claves privadas y públicas para cada cuenta o servicio en el que el cliente se conecta.

AUTENTICACIÓN FIDO

Soluciones basadas en el estándar FIDO para una autenticación más simple y más fuerte utilizando un enfoque abierto, escalable e interoperable

Obtener más información

Datos personales

De acuerdo con el RGPD, las organizaciones deben captar el consentimiento para los datos personales que recopilan y deben ser capaces de demostrar que han recibido ese consentimiento. Además, cualquier persona tiene derecho a la rectificación de sus datos personales, así como a ser eliminada de la base de datos de una organización. La transparencia es un componente clave. En cuanto a los derechos individuales y el consentimiento de los datos, de nuevo la autenticación FIDO ofrece una respuesta. Para que las personas puedan hacer solicitudes sobre sus datos personales, es necesario que la empresa verifique la identidad de la persona que hace la solicitud para asegurarse de que ésta es auténtica.

Además, cualquier organización que evalúe los mecanismos de consentimiento para cumplir con el GDPR debe considerar las firmas electrónicas, especialmente cuando se manejan datos de alto riesgo, como la información financiera personal. Las firmas electrónicas proporcionan una forma auditable y fácil de usar para capturar el consentimiento, cumplir con el requisito de inclusión activa y demostrar los detalles de cómo se obtuvo el consentimiento, incluyendo qué se consintió, cuándo y por quién. El servicio de firma electrónica OneSpan Sign, por ejemplo, se integra y puede conectarse a sistemas de autenticación como los autenticadores certificados por FIDO de OneSpan.

Biometría

La autenticación biométrica está ganando terreno rápidamente. Por un lado, es muy cómodo iniciar sesión en cualquier servicio utilizando una huella dactilar o un escáner facial. En segundo lugar, es fácil aprovechar los dispositivos cotidianos para Touch ID y Face ID, por ejemplo. El GDPR considera los datos biométricos como información sensible, y las organizaciones deben asegurar y gestionar adecuadamente estos datos.

FIDO está muy centrado en la biometría, ya que representa a la perfección la noción de autenticación simplificada y cómoda. El protocolo FIDO está configurado de tal manera que no hay secretos del lado del servidor; por lo tanto, los datos biométricos nunca se almacenan en una base de datos. Los datos biométricos se almacenan localmente y nunca salen del dispositivo. Al implantar FIDO, las empresas evitan recopilar, procesar y gestionar ellas mismas los datos.

Comodidad para el usuario

Hasta ahora nos hemos centrado en cuestiones legislativas, pero ¿qué pasa con la experiencia del usuario? La experiencia del cliente es un claro diferenciador competitivo y tiene un fuerte impacto en la fidelidad del cliente.

FIDO se creó pensando en el usuario y, al mismo tiempo, eliminando el eslabón más débil de la cadena de seguridad: los propios usuarios. La autenticación sin contraseña facilita la autenticación, ya sea a través de la biometría en los dispositivos móviles o de un token de hardware FIDO2. FIDO mejora y simplifica la experiencia del cliente minimizando las molestias y maximizando la seguridad.

Visite nuestra página de autenticación FIDO para obtener más información sobre FIDO para el inicio de sesión sin contraseña y el uso de FIDO para cumplir con los requisitos del GDPR.

Sarah es Directora de Marketing de Producto en OneSpan y responsable de las soluciones FIDO, de hardware y de servidor de OneSpan. Tiene más de 15 años de experiencia en TIC y comunicaciones y ocupó cargos anteriores en el departamento de comunicaciones corporativas de OneSpan.