Ley Federal de Protección de Datos Personales en Posesión de

Particulares

Agenda

– Ley Federal de protección de datos personales en posesión de Particulares

Ricardo Lira Senior Manager – AdvisorServices - Ernst & Young

– Soluciones TecnológicasJorge González Gerente McAfee - Compusoluciones

Ley Federal de Protección de Datos Personales en Posesión de Particulares

Ricardo Lira Senior Manager – AdvisorServices

Ernst & Young

¿Qué es esta nueva ley?

• 6 de julio del 2010 • Implicaciones • Beneficios • Recomendaciones de actuación

¿Cuál es el objeto de esta ley?

• Protección de datos personales en posesión de particulares regulando su tratamiento legítimo

• Esta ley aplica a la iniciativa privada• Aplicable a toda empresa que obtenga datos

personales como insumo• Sectores: Financiero, salud, educación, servicios,

manufactura.

¿Cuál es el objeto de esta ley?Datos personales

• Clientes • Empleados • Proveedores• Prospectos• “Ex”

• Personales• Laborales• Patrimoniales• Académicos• Salud• Características personales

Datos:

Tratamiento de la Ley

• Obtención, divulgación y almacenamiento de la información ya sea electrónicamente o en físico.

• Ciclo de vida de los datos

Principios de los Datos Personales

• Licitud• Consentimiento• Información• Calidad

• Lealtad• Finalidad• Proporcionalidad• Responsabilidad

Principios de los Datos Personales

Consentimiento• Permitir la obtención y tratamiento de la información

en base a la finalidad de la información.– Consentimiento Tácito

Datos Personales > Requieren de un aviso de privacidad

– Consentimiento ExplícitoDatos personales sensibles y patrimoniales > Requieren de firma

autógrafa o electrónica

Principios de los Datos Personales

Finalidad• Debe de estar explicado para que se utiliza la

información.Servicios de terceros (outsoursing)• La empresa sigue siendo responsable de la

información aunque la maneje un tercero• La empresa debe de vigilar que el tercero haga un

bueno uso de la información

Medidas de Seguridad

• Todo responsable que lleve el tratamiento de datospersonales deberá establecer y mantener medidas deSeguridad administrativas y técnicas.

– Debe de existir una Gestión de Seguridad alrededor de los activos.

– Artículo 20.- Se debe de informar de manera inmediata la pérdida de información dentro de la organización.

Derechos ARCO

• Acceso• Rectificación• Cancelación • Oposición

Sanciones e Infracciones

• 100 a 320,000 salarios mínimos• 3 meses a 3 años de prisión por vulneración de

medidas de seguridad. • 6 meses a 5 años de prisión por engaño• Estas sanciones se duplican al tratarse de violaciones

en relación a datos personales sensibles.

Ley Federal de Protección de Datos Personales en Posesión de Particulares

Ricardo Lira Senior Manager – AdvisorServices

Ernst & Young

Jorge GonzálezGerente McAfeeJorge.gonzalez@compusoluciones.comTel. 50007871Cel. 5529281659

Conformidad Propiedad Intelectual

• Listas de Clientes• Listas de Precios/Costos• Listas de Clientes

Objetivos• Nuevos Diseños• Logotipo de la Empresa• Código Fuente• Fórmulas• Ventajas de Procesos• Patentes Pendientes

Información de Alto Impacto del Negocio

• Actas de Reuniones de los Directivos

• Informes Financieros• Fusiones/Adquisiciones• Planes de Productos• Planes de

Contratación/Despido/RIF• Información Salarial• Uso Aceptable

• SOX • PCI• Números de tarjetas de

crédito• Numeros de Indentidad• GLBA • SB 1386 • Otros

• Análisis de las acciones de los Empleados Principales antes del anuncio de su partida

• Memorandos/Informes no comunicados, pero importantes• Nombres de código de proyectos no comunicados al departamento de

Seguridad

Que usted no sabía que necesitaba protección

Adicionalmente debemos cuidar…

Información puede ser protegida :

Fácil de perder Robo LucrativoFacil de Transferir

$147 $98

$490 $147

AccesoUso DispositivosLocalidad

Cybercrime “Black Market” Value

En donde esta el riesgo…

Perspectiva de crecimiento Cómputo móvil(from Morgan Stanley)

Dev

ices

/Use

rs (M

M in

Log

Sca

le)

1,000,000

100,000

10,000

1,000

100

10

1

1960 1980 2000 2020

Mobile Internet

Desktop Internet

PC

Minicomputer

Mainframe

10B+ Units??

1B+ Units/ Users

100M Units

10M Units

1M Units

”“ The desktop internet ramp was just a warm-up act for

what we’re seeing happen on the mobile internet. The pace of mobile innovation is “unprecedented, I think, in world history.

Mary Meeker, Morgan Stanley – April 2010

Y ademas….

McAfee ePolicy Orchestrator

System Network Information

Global Threat Intelligence

AV/S HIPS FW NAC

WEB SPAM AC PA

NIPS FW NAC VM

WEB SPAM UTM NUBA

DLP DC

D.Enc F.Enc V.Enc USB

WebSecurityResearch

McAfeeCustomers

MalwareResearch

NetworkSecurityResearch

RegulatoryCompliance

Research

VulnerabilityResearch

EmailSecurityResearch

http://

Amplio portafolio de Soluciones de Seguridad

McAfee Total Protection™ for Data Soluciones integradas para la protecciónTotal de la información

McAfee Endpoint Encryption Encriptación de dispositivos moviles, discos duros completos, carpetas o archivos

McAfee Data Loss Prevention Control Total y visibilidad para la prevención de fuga de infromaciónA través de los medios de colaboración.

Data Loss Prevention

DeviceControl

Encrypted USB

EndpointEncryption

McAfee Encrypted USBDispositivos de almacenamiento encriptados Usb

McAfee Device Control Previene uso no autorizado de dispositivos removibles

Seguridad de la Información

Protección UniversalAplicación, Redes y Física

Funciones

DescripciónAplicación (email, webmail, P2P, IM)Redes (HTTP, HTTPS, FTP, Wi-Fi)

Física (USB, Impresoras, fax)

Protección basada en el Contenido Previene la transmisión

(ej. flujo de datos)

Previene la transmisión de datos (ej. flujo de datos) confidenciales aunque sean copiados y pegados de su archivo origen, compresos y

cifradosSiempre Protege

Previene la transmisión de los datos confidenciales en los sistema portátiles

donde quiera que estén

En la red empresarial, Conectado desde casa vía VPN, Acceso inalámbrico en un hotel,

aeropuerto o cybercafe

Administrado por ePO (*)Se apoya en las políticas existentes de

la infraestructura de administración

La integración con ePO entrega una visión unificada de las políticas de seguridad,

aplicación y reportes

(*) Disponible Q2 2007

Protección funcional…

Un visitante o empleado temporal o un consultor trabaja en el exterior e intenta copiar datos financieros desde un servidor a un equipo externos conectado al puerto USB…El archivo copiado al USB es monitoreado por McAfee DLP

Almacén de Datos ExternosAlmacén de Datos Externos

Un usuario que viaje con su portátil, envía un mensaje usando webmail (yahoo, gmail, etc.) que contiene datos confidenciales de la empresa y datos de clientes (ej.: un anexo con números de tarjetas de crédito)… El mensaje es bloqueado por McAfee DLP

Webmail MaliciosoWebmail Malicioso

Un vendedor molesto esta planeando en renunciar a la empresa e ir a trabajar con un competidor. Antes de renunciar, intenta imprimir todos los contactors de clientes en su region…La actividad de impresión es bloqueada por el McAfee DLP

Impresión MaliciosaImpresión Maliciosa

Una asistente legal copia información de un memo interno y lo pega en un correo electrónico y lo envía a alguien fuera de la empresa… El correo electrónico es bloqueado por McAfee DLP, con un mensaje personalizado al usuario

Copiar y PegarCopiar y Pegar

Aplicaciones en ambiente real

Cifrado de Terminales para PC (EEPC)• El cifrado más veloz• Operación eficaz, desapercibida para el usuario final• El menor agente del mercado• ePO integrado para distribución y emisión de informes• Cubre tarjetas inteligentes, huellas digitales y otros logins por tokens

Cifrado de Terminales para Archivos y Carpetas (EEFF)• Ninguna interacción del usuario final - totalmente discreto• ePO integrado para distribución y emisión de informes• Cifrado de CD/DVD en el momento de la grabación• Cifrado completo y flexible de medios (pen drive)

USB Cifrada• Gestión central completa de pen drives cifrados con ePO • Recuperación de contraseñas y datos• Sin instalación ni problemas de compatibilidad

Cifrado de Información

Apps empresariales y

de usuario

Web andSocial Media

Servicios Básicos

Apps Transaccionales

McAfee EMM • Protección de Datos• Compliance

• Auto servicio• Admin. de politicas

Protección más allá del correo…

Device Loss Protection

• PIN/Password

• Historial de password y complejidad

• Acciones de falla en Password

• Cifrado

• Limpieza total o selectiva

Self-Service Provisioning

• ActiveSync Email

• Communicaciones con : − VPN − WiFi

Device Controls

•Bloqueo de camara•Admin. De imagenes•Bloqueo de aplicaciones

Certificate-based Strong Authentication

Compliance Management and Reporting

•Hardware•Sistema operativo•Estatus del teléfono•Estatus de Politicas & Configuracion

Seguridad congruente!!!

April 8, 2023

26 Confidential McAfee Internal Use Only

McAfee ePO McAfee DLP Manager

Switch

Databases or Repositories

Data-in-Use

McAfee NDLP Prevent

McAfee Firewall McAfee IPS

McAfee HDLP

ICAP integrated

McAfee NDLP Prevent

McAfee NDLP MonitorData-in-Motion

Data-in-Motion

McAfee Web Gateway

SMTP integrated

McAfee Email Gateway

McAfee HDLP

McAfee NDLP Discover

Data-at-Rest

Host o Perímetro?

Jorge GonzálezGerenteJorge.gonzalez@compusoluciones.comTel. 50007871Cel. 5529281659

Q & A

Ley Federal de Protección de Datos Personales en Posesión de Particulares

Esther Rico merico@nst.mx

5513.1467

Susana Alcántarasalcantara@nst.mx

5513.1467

Contacto