Orange, Teléfonica y Vodafone aseguran al juez que sus sistemas informáticos no permiten determinar quiénes consultan las informaciones privadas de sus clientes.La multinacional española informó al juez el 3 agosto de 2018 de que no constaba "en los sistemas de la compañía ningún acceso a los datos de titularidad o de tráfico de llamadas relativo a los números de teléfono indicados en dicho oficio", completan los agentes de Asuntos Internos, que resaltan que la multinacional española tampoco identificó ningún requerimiento de información
Comentarios
Teniendo en cuenta que son datos de alto nivel, según la LOPD: "deben tener mecanismos de identificación y autenticación que garanticen la seguridad en el acceso a la información.
Resumiendo: que se pasan la ley por el forro
#1 Como la Agencia no suele obrar de oficio y solo ante denuncias pues.....
#1 No pasa nada. Una multita de 100 euros y se arregla. Ya veras como no lo vuelven a hacer.
#1 por que de nivel alto?
Segun la ley de 1999 y el RD de 2007 que era la que aplicaba cuando paso esto yo no los calificaría de alto, tal vez nivel medio por aquello de que podían usarse para establecer perfiles del personal.. pero algo? ni datos de salud, sexo, politica, etc... Nada de la ley anterior, aplicable a este caso, decía que debían ser de nivel alto.
Con la norma actual si que tiene sentido que se consideren en la evaluación de riesgos como datos de especial riesgo, de impacto alto en la privacidad, y se adopten medidas, medidas que la ley actual NO INDICA, sino que el responsable decide (en función de esa evaluación de riesgos).
#5 Lectura diagonal, no había visto la fecha, thanks.
#1 La ley dice eso, pero no conozco un solo sistema donde no haya alguien que pueda obtener esos datos sin dejar muchas evidencias. Básicamente, gente que accede al sistema por fuera del entorno de usuario: Administrador de base de datos, técnicos de sistema, desarrolladores resolviendo incidencias del Online, etc...
#7 Trabajo en la admin pública como administrador de sistemas, te aseguro que en todo momento queda registrado quien cuando y donde realiza un acceso, es más, no puedes conectarte como administrator sin acceso físico a la máquina y para ello tienes que utilizar PIN+acceso biométrico para acceder a la sala de servidores (CPD) además de las cámaras que hay tanto en los pasillos como en el propio CPD.
Los discos están cifrados, tanto los servidores como las copias de seguridad, aunque entres en la sala y te lleves todos los discos que quieras nunca vas a poder acceder a la información (al menos de momento y con las capacidades de cómputo actuales).
#8 ¿A si?¿ Y quien cotrola que tu no cueles un SQL de consulta contra una tabla, cuando ejecutas un cuaderno de carga por la consola, del sqlplus? ¿Quien supervisa que entre los cientos de SQL que pasais cada dia haya uno no registrado, por la documentación?
¿Quien le pone la contraseña a las cintas de la copia de seguridad?
#9 Todo depende del nivel de logging, en nuestro caso es paranoico cuando se trata de datos de alto nivel. Además que no usamos oracle.
Yo por ejemplo no puedo borrar los logs, mi usuario aun siendo de tipo administrador no lo permite y por supuesto se hacen copias de seguridad diarias (además que nos auditan y no son precisamente gente muy amable)
#10 No niego que haya logs, digo es muy dificil encontrar una consulta ilegitima entre los miles de consultas legitimas, de la base de datos...y eso incluye tambien los entornos de preproduccion.
Ay que me desorino! (ya veréis el día que se atrevan a meter mano a timofónica)