• Nina Vélez-Troya

Are you GDPR Compliant?



Data has become one of the most significant resources for a modern and successful company in our current age. The data that we can gather from our customers, their habits, shopping habits, social network activities can now help a company refine its marketing strategy and overall performance.


In light of the "data craze" that Companies worldwide have developed, several government bodies have taken data protection as a core matter to regulate and control. For European countries, the European Union adopted the General Data Protection Regulation (GDPR).


The GDPR is, since its adoption in May 2018, the new European framework regarding the processing and circulation of personal data, those elements on which companies reply to offer services and products: this text covers all residents of the European Union.


This text introduced a significant change within European regulations since it extends beyond European borders, including Switzerland. In this regard, in March 2019, Switzerland reviewed the Federal Act of Data Protection (FADP) of 1992 and changed its national regulations to be closer to the European standards.


This limitation in data collection does not mean that companies are no longer allowed to collect data for their activities. However, they now must implement several policies within their structure to ensure proper protection for their customers and their responsibility, such as:

- the obligation to keep records of data processing activities,

- the obligation to report data loss and other data security breaches

- the obligation to conduct data protection impact assessments ("DPIA") for sensitive data processing.


What should a company set up internally to comply with GDPR?



1. Census of treatments


To be transparent on the subject, companies must identify all the practices carried out by its teams that would involve the processing of personal data.


At the same time, it would be interesting for companies to protect personal information internally by limiting access to it. This limitation provides better control on who and when accesses the data. The less sensitive information passes from hand to hand, the more a company avoids conflicts of interest.


2. Respect for the rights of individuals


The new regulation makes it a point of honor for companies to respect the rights of individuals by reinforcing their obligation to provide information and transparency, and thus to be able to access, delete, rectify or limit their information at any time. Each action must be taken in line with the appropriate procedures to respect these rights and ensure the protection and control of the persons in their private life.


3. Keep a record of your processes


One core requirement emanating from GDPR is to set up a record that provides a global view of your data processing structure so controlling bodies can check the data you have collected. These records should gather the following :

  • The name of the controller or his representative,

  • The purposes of the processing,

  • The different categories of data processed,

  • The persons concerned by the processing,

  • The recipients of the data,

  • The time limits for the destruction of the data,

  • The description of the security measures to be put in place to protect the data,

  • The additional security guarantees for cases of international data transfer.


When properly maintained, this register will provide you with an overview of the activities you perform, allowing you to assess the gap between your data protection practices and the standards of the GDPR.


What other elements should you consider to be GDPR Compliant?


Digitalization allows companies to have easy access to data and collect more and more of it to offer personalized services and increase their performance. However, companies' increase in the collection of personal data has led to the emergence of a new risk: cyber-attacks.




According to the annual Cyber Defense Report, in 2021, 86% of businesses were victims of a successful cyberattack. Indeed, cyber-attacks are increasingly focused on stealing users' data. Data theft allows cybercriminals to steal complete identities and create fraudulent accounts for use on e-commerce websites.


It is important to note that the larger the company, the more real the risk of cyber-attack. Large companies also have a lot to lose in case of a cyber-attack on their data: their reputation may be damaged, and the ransom demand of the cyber attacker will be higher for a large company.


Here are several types of attacks that can affect a company:


Missconfig web server:

A misconfiguration of a web server can cause severe damage. An attacker could exploit this Missconfig to compromise the server's database and even compromise other systems if this webserver is located internally in the company.


SQL injection:

The SQL flaw is a group of methods to exploit a security flaw in an application interacting with a database. It allows injecting in the current SQL query a piece of a query not foreseen by the system, which can compromise its security.

It is possible, for example, with this attack to recover an entire database.


Ransomware:

This type of malware or malicious program takes files and sometimes entire computers or mobile devices hostage. This behavior can define ransomware: the hackers demand a ransom in exchange for restoring access to or decrypting your files.


Due to GDPR, companies that insufficiently protect their customer's data are liable to penalties that can reach up to 4% of their turnover. According to the European regulation, in a data breach, companies must inform the supervisory authorities as soon as possible and no later than 72 hours after becoming aware of it.


Cybercriminals, using these attacks, are betting on the fear of penalties to push hacked companies to pay the ransom.

For example, recently, a global U.S. energy and water company was attacked by the group Conti RAAS and a ransom demand of $2.5 million was made. The company eventually paid the sum of $750,000. The company recovered the systems from backups and paid the ransom to keep their data off the deep web.


In the case of small and medium-sized businesses, the cyber threat does not appear to be a priority. Yet, the number of attacks and ransomware demands against these companies is increasing. As long as companies have not been victims of a cyber-attack, they underestimate the risk and do not implement sufficient measures to avoid the attack.

Although all sectors are affected by these increasingly frequent attacks, the most affected sectors are: finance, insurance, logistics services, or even the health sector.


Article written by Win SA




¿Cumple con el RGPD?



Los datos se han convertido en uno de los recursos más importantes para una empresa moderna y exitosa en nuestra era actual. Los datos que podemos recopilar de nuestros clientes, sus hábitos, hábitos de compra y actividades en las redes sociales ahora pueden ayudar a una empresa a refinar su estrategia de marketing y su desempeño general.


A la luz de la "locura de los datos" que han desarrollado las empresas de todo el mundo, varios organismos gubernamentales han tomado la protección de datos como un asunto central para regular y controlar. Para los países europeos, la Unión Europea adoptó el Reglamento general de protección de datos (GDPR).


El RGPD es, desde su adopción en mayo de 2018, el nuevo marco europeo en materia de tratamiento y circulación de datos personales, aquellos elementos sobre los que las empresas responden para ofrecer servicios y productos: este texto cubre a todos los residentes de la Unión Europea.


Este texto introdujo un cambio significativo dentro de la normativa europea, ya que se extiende más allá de las fronteras europeas, incluida Suiza. En este sentido, en marzo de 2019, Suiza revisó la Ley Federal de Protección de Datos (FADP) de 1992 y cambió su normativa nacional para estar más cerca de los estándares europeos.


Esta limitación en la recopilación de datos no significa que las empresas ya no puedan recopilar datos para sus actividades. Sin embargo, ahora deben implementar varias políticas dentro de su estructura para garantizar la protección adecuada para sus clientes y su responsabilidad, tales como:

- la obligación de mantener registros de las actividades de procesamiento de datos,

- la obligación de informar la pérdida de datos y otras violaciones de seguridad de los datos

- la obligación de realizar evaluaciones de impacto de la protección de datos ("DPIA") para el procesamiento de datos sensibles.


¿Qué debería configurar una empresa internamente para cumplir con el RGPD?



1. Censo de tratamientos


Para ser transparentes en el tema, las empresas deben identificar todas las prácticas realizadas por sus equipos que involucrarían el procesamiento de datos personales.


Al mismo tiempo, sería interesante que las empresas protegieran la información personal internamente limitando el acceso a ella. Esta limitación proporciona un mejor control sobre quién y cuándo accede a los datos. Cuanto menos información sensible pase de mano en mano, más evitará una empresa los conflictos de intereses.


2. Respeto de los derechos de las personas


La nueva normativa convierte en un punto de honor para las empresas el respeto de los derechos de las personas, reforzando su obligación de brindar información y transparencia, y así poder acceder, suprimir, rectificar o limitar su información en cualquier momento. Cada acción debe tomarse de acuerdo con los procedimientos adecuados para respetar estos derechos y garantizar la protección y el control de las personas en su vida privada.


3. Mantenga un registro de sus procesos


Un requisito fundamental que emana del RGPD es configurar un registro que proporcione una vista global de su estructura de procesamiento de datos para que los organismos de control puedan verificar los datos que ha recopilado. Estos registros deben recopilar lo siguiente:

El nombre del responsable del tratamiento o su representante,

Los fines del procesamiento,

Las diferentes categorías de datos procesados,

Las personas afectadas por el tratamiento,

Los destinatarios de los datos,

Los plazos para la destrucción de los datos.

La descripción de las medidas de seguridad que se implementarán para proteger los datos,

Las garantías de seguridad adicionales para casos de transferencia internacional de datos.


Cuando se mantiene adecuadamente, este registro le proporcionará una descripción general de las actividades que realiza, lo que le permitirá evaluar la brecha entre sus prácticas de protección de datos y los estándares del RGPD.


¿Qué otros elementos debería considerar para cumplir con el RGPD?


La digitalización permite a las empresas tener fácil acceso a los datos y recopilarlos cada vez más para ofrecer servicios personalizados y aumentar su rendimiento. Sin embargo, el aumento de la recopilación de datos personales por parte de las empresas ha provocado la aparición de un nuevo riesgo: los ciberataques.



Según el Informe anual de ciberdefensa, en 2021, el 86% de las empresas fueron víctimas de un ciberataque exitoso. De hecho, los ciberataques se centran cada vez más en robar los datos de los usuarios. El robo de datos permite a los ciberdelincuentes robar identidades completas y crear cuentas fraudulentas para su uso en sitios web de comercio electrónico.


Es importante tener en cuenta que cuanto más grande es la empresa, más real es el riesgo de un ciberataque. Las grandes empresas también tienen mucho que perder en caso de un ciberataque a sus datos: su reputación puede verse dañada y la demanda de rescate del ciberatacante será mayor para una gran empresa.


A continuación, se muestran varios tipos de ataques que pueden afectar a una empresa:


Servidor web Missconfig:


Una mala configuración de un servidor web puede causar daños graves. Un atacante podría explotar este Missconfig para poner en peligro la base de datos del servidor e incluso comprometer otros sistemas si este servidor web está ubicado internamente en la empresa.


Inyección SQL:


La falla de SQL es un grupo de métodos para explotar una falla de seguridad en una aplicación que interactúa con una base de datos. Permite inyectar en la consulta SQL actual una parte de una consulta no prevista por el sistema, lo que puede comprometer su seguridad.

Es posible, por ejemplo, con este ataque recuperar una base de datos completa.


Secuestro de datos:


Este tipo de malware o programa malintencionado toma como rehenes archivos y, a veces, equipos enteros o dispositivos móviles. Este comportamiento puede definir el ransomware: los piratas informáticos exigen un rescate a cambio de restaurar el acceso o descifrar sus archivos.


Debido al RGPD, las empresas que no protegen suficientemente los datos de sus clientes están sujetas a sanciones que pueden alcanzar hasta el 4% de su facturación. Según la normativa europea, en una violación de datos, las empresas deben informar a las autoridades supervisoras lo antes posible y a más tardar 72 horas después de tener conocimiento de la misma.


Los ciberdelincuentes, utilizando estos ataques, apuestan por el miedo a las sanciones para empujar a las empresas pirateadas a pagar el rescate.

Por ejemplo, recientemente, el grupo Conti RAAS atacó a una empresa mundial de agua y energía de EE. UU. Y se solicitó un rescate de 2,5 millones de dólares. La empresa finalmente pagó la suma de $ 750.000. La compañía recuperó los sistemas de las copias de seguridad y pagó el rescate para mantener sus datos fuera de la web profunda.


En el caso de las pequeñas y medianas empresas, la ciberamenaza no parece ser una prioridad. Sin embargo, la cantidad de ataques y demandas de ransomware contra estas empresas está aumentando. Mientras las empresas no hayan sido víctimas de un ciberataque, subestiman el riesgo y no implementan las medidas suficientes para evitar el ataque.

Aunque todos los sectores se ven afectados por estos ataques cada vez más frecuentes, los sectores más afectados son: finanzas, seguros, servicios logísticos o incluso el sector salud.


Artículo escrito por Win SA