Leyes de privacidad: ¿quién posee los datos personales?
¿Quién posee sus datos y qué leyes de privacidad los rigen? Bueno, eso depende de dónde vivas. Si lo posee, debe tener control sobre él. Si no lo posee, ¿qué tan seguro es?
Las recientes violaciones de datos que afectaron a la mayoría de los estadounidenses han comenzado un diálogo nacional sobre la seguridad de los datos personales. De hecho, la violación de alto perfil de Equifax y otras similares han llevado al Comité de Comercio del Senado a celebrar audiencias sobre "Protección de los consumidores en la era de las principales violaciones de datos". La última tuvo lugar el 8 de noviembre de 2017. Los que testificaron incluyeron al CEO interino de Equifax, Paulino do Rego Barros Jr .; ex CEO de Equifax, Richard Smith; y ex CEO de Yahoo, Marissa Mayer.
Me llevó a escribir el intercambio entre do Rego Barros Jr. y la senadora Catherine Cortez Masto (D-Nev.). Cuando el senador le preguntó a Barros por qué los consumidores no pueden optar por no participar en la recopilación de datos de Equifax, dijo: "Esto es parte de la forma en que funciona la economía".
El senador respondió: “El consumidor no tiene otra opción, señor. El consumidor no puede elegir los datos que está recopilando ". El punto del senador es que Equifax posee todos los datos recopilados sobre los consumidores. De acuerdo con la El Correo de Washington , "Los consumidores no pueden solicitar salir de los archivos de la empresa".
La diferencia con las leyes de privacidad de la UE
Ese intercambio contrastaba con los controles de protección de datos relacionados con el consumidor, como el Reglamento General de Protección de Datos (GDPR) de la Unión Europea que entró en vigencia el 25 de mayo de 2018. los GDPR establece claramente que el ciudadano posee sus datos personales. El objetivo del Reglamento es dar a los ciudadanos y residentes el control sobre sus datos. Multinacional estadounidense Las empresas que manejan datos que pertenecen a clientes que viven en la UE deben cumplir con el RGPD o enfrentar severas sanciones financieras.
Aunque los ciudadanos de la UE poseen sus datos personales, las organizaciones de todo el mundo que recopilan datos de los consumidores y los utilizan por cualquier medio, deben tomar "medidas apropiadas" para protegerlos.
Dadas las infracciones a gran escala, muchas organizaciones están actualizando sus sistemas y deshaciéndose de las contraseñas a favor de los autenticadores de múltiples factores, como autenticación de software , códigos de acceso de un solo uso basados en hardware , biometría o Autenticadores FIDO basado en criptografía de clave pública.
Hora de reemplazar contraseñas con autenticación fuerte
El Informe de investigaciones de violación de datos de Verizon 2017 establece que el 81% de las infracciones relacionadas con la piratería aprovecharon contraseñas robadas y / o débiles. Sin embargo, el Informe de estado de autenticación 2017 de Javelin Strategy & Research encontró que el 100% de las empresas continúan usando contraseñas. Estos resultados me hacen pensar en la ingeniosa definición de locura: hacer lo mismo una y otra vez y esperar resultados diferentes.
Eso puede ser gracioso, pero cuando se trata de proteger los datos personales que son propiedad del ciudadano (que no son propiedad de una agencia de crédito, un proveedor de Internet, una compañía de telecomunicaciones, un banco o cualquier otra empresa), puedo asegurarle que los auditores de GDPR serán perjudiciales para las organizaciones. "Proteger" los datos con contraseñas.
Los controles de protección de datos como GDPR probablemente allanarán el camino para una autenticación sólida a través de autenticadores biométricos, de software o de hardware. Ya que muchos Estados Unidos Las organizaciones deben cumplir, la autenticación fuerte, ya que se relaciona con la seguridad de los datos personales codificados en una miríada de leyes de privacidad, puede convertirse en la norma prevista en el Estrategia nacional de EE. UU. Para identidades de confianza en el ciberespacio .
