Reglamento General de Protección de Datos (RGPD)
El Reglamento General de Protección de Datos establece, entre otras, la necesidad de aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo existente en cada tratamiento de datos personales, que incluyan, entre otras:
la seudonimización y el cifrado de datos personales;
la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
¿Cómo afecta la norma a las copias de seguridad?
Las empresas están obligadas a realizar copias de seguridad.
Los servidores encargados de realizar las copias deben contar con medidas de seguridad adecuadas para impedir accesos no autorizados.
Tanto el intercambio de datos con el servidor de respaldo como el almacenamiento de los mismos debe realizarse de forma segura, es decir, los datos deben cifrarse, de forma que en caso de un eventual ataque o intrusión, la información sea ininteligible para el atacante.
Las soluciones de respaldo deben permitir la recuperación de los datos rápidamente en caso de incidente físico o técnico.
Se deben realizar regularmente auditorías, análisis de vulnerabilidades y/o tests de intrusión para verificar la eficacia de las medidas de seguridad adoptadas para proteger los equipos informáticos encargados de realizar y almacenar las copias de seguridad.