Comienza la cuenta atrás para Keyfactor Tech Days | ¡Asegura tu plaza hoy mismo!

GDPR: Certificados digitales y PII

El Reglamento General de Protección de Datos (RGPD) ya está aquí. En vigor desde el 25 de mayo de 2018, el GDPR tiene como objetivo abordar la protección de datos y los derechos de privacidad de los ciudadanos de la Unión Europea. El GDPR aborda dos áreas principales de preocupación para la mayoría de las organizaciones:

  • Cómo identificar todos los datos que contienen Información de Identificación Personal (IIP)
  • Cómo rastrear los datos que pueden haber quedado expuestos en una filtración

El GDPR identifica además dos tipos de IIP. La IIP directa, es decir, los elementos de datos típicamente identificados como IIP, como el nombre, la dirección, etc., y la IIP indirecta, o aquellos elementos que pueden utilizarse para identificar indirectamente a un usuario, como los nombres de máquinas, la dirección IP, etc.

Muchas organizaciones emiten certificados digitales para identificar a los usuarios con fines de autenticación y autorización. Estos certificados incluyen información identificada como IIP directa por el RGPD. Las organizaciones también suelen expedir certificados a los dispositivos para el acceso a las redes o la gestión remota, y esos certificados contienen IIP indirectas que suelen vincular a un usuario con un dispositivo.

Como resultado, los certificados digitales emitidos a usuarios y dispositivos pasan a estar sujetos al GDPR y, por lo tanto, requieren el mismo cuidado, atención y perspicacia que otra información almacenada sobre usuarios y clientes.

Un certificado digital de usuario contiene información de identificación personal y puede utilizarse para diversos fines, entre los más delicados:

  • firma de documentos jurídicamente vinculantes
  • cifrado de datos confidenciales
  • autenticación en sistemas seguros

Además de la evidente necesidad de procesos de aprovisionamiento bien controlados en torno a los certificados digitales de usuario, las organizaciones deben ser capaces de identificarlos claramente, informar sobre ellos y, si se solicita, revocarlos y eliminarlos.

La capacidad de gestionar de forma centralizada los certificados digitales de usuario a lo largo de todo su ciclo de vida es posible con la Plataforma de Gestión de Operaciones PKI y Certificados Digitales CMS de CSS. En este ejemplo, estamos trabajando con certificados emitidos a un subconjunto específico de usuarios en un directorio, cuyas cuentas se encuentran en una unidad organizativa con atributos específicos de un país; en este caso, Francia. Con una colección de certificados específica de la UE definida en la consola CMS, los usuarios pueden obtener una vista instantánea de los certificados de su entorno que entran en el ámbito de la GDPR.

GDPR_PKI1

La adición de esta colección al cuadro de mandos de CMS en la búsqueda de certificados definida (mostrada más arriba) proporciona visibilidad inmediata de certificados con alcance GDPR a los usuarios de la consola CMS.

GDPR_PKI2

Como se muestra arriba, en la vista de la colección "Certificados de usuario de la UE", se muestran los certificados que cumplen los criterios de búsqueda especificados con opciones para actualizaciones, revocaciones y eliminaciones, ya sea para certificados individuales, múltiples o todos los certificados. También está disponible la opción de descargar el conjunto de datos resultante para analizarlo en otras herramientas.

Este blog ha cubierto solo un ejemplo de gobernanza del GDPR en relación con la infraestructura de clave pública (PKI) de su empresa. CSS puede trabajar con usted en un modelo CMS Enterprise™ (plataforma de gestión de PKI y certificados digitales en las instalaciones o en la nube) o CMS Sapphire™ (servicio gestionado de PKI empresarial) para garantizar que los suscriptores de certificados digitales tengan acceso a las protecciones que les ofrece el GDPR, así como para ayudar a demostrar el cumplimiento de su empresa.