La nueva ley sobre seguridad de la información promulgada en el Estado de Massachusetts, USA, conocida como 201 CMR 17.00, tiene una serie de alcances significativos, relativos a la manera de como administrar y asegurar la privacidad de la información.
En estos últimos días, al parecer los gobiernos locales de los distintos Estados de los Estados Unidos de América, han estado figurando fuertemente en los medios de comunicación, algunos por cosas positivas como lo que sucedió en la ciudad de Los Angeles, dónde aprobaron el día de hoy, realizar un boicot económico contra el estado de Arizona, por la controvertida nueva ley de inmigración ilegal de este estado y otros como en Massachusetts, donde la nueva ley, requiere que todas las bases de datos - incluyendo las bases de datos Oracle- que contengan información que pueda ser identificada como personalizada, deben utilizar algún mecanismo de encriptación.
Las organizaciones deben trabajar en asegurar toda aquella información que pueda ser identificada como información personal ( PII Personally Identifiable Information ), que sea recolectada de los residentes del estado.
La ley aboga, para que datos como la dirección del hogar, seguridad social, número de licencias e información de cuentas financieras, deben estar encriptadas en la base de datos. La ley no abarca información específica relacionada con sus rasgos físicos, como color de ojos ó información como películas favoritas, su salario o ocupación.
Existen algunas exigencias extravagantes, como que la información debe mantenerse encriptada en dispositivos como laptops y dispositivos portátiles de administración de datos como iPhones, MP3/MP4 Players y dispositivos USB, además de las ya mencionadas bases de datos y hojas electrónicas.
La ley pretende que las medidas establecidas por normantivas como la HIPAA, SOX y GLB sean de carácter Federal.
La nueva ley, establece multas que van desde $5.000,00 por violación, hasta $50.000,00 por instancia de base de datos y $100,00 por cada residente afectado, por la falta del cumplimiento.
Esta medida afectará duramente el comercio electrónico, que en muchas ocasiones, no contempla medidas para salvaguardar parte de la información de sus clientes, que de ahora en adelante será obligatoria hacerlo.
Es de esperar que otros estados norteamericanos, se sumen pronto a esta iniciativa.
En cuanto a los clientes de Oracle, estos se verán afectados en la medida, en que en sus bases de datos, cuenten con motor del tipo One Edition o Standard, ya que las opciones de seguridad para encriptación de datos, como DataMasking, Label Security y Database Vault, estan sólo disponibles para las versiones Enterprise Edition.
Tal vez, este tipo de regulaciones, haga necesario que Oracle, haga un replanteamiento, de sus versiones de base de datos y permita en las nuevas versiones, mayor dinamismo, para poder adoptar opciones tan útiles y que deberían ser de uso común, como lo son las opciones de seguridad, a lo largo de sus tres versiones estrella, de su motor de base de datos.
Tal vez estamos a la puerta, que sea el mercado el que dicte algunas políticas, sobre las características que deben contemplar productos como la base de datos en lugar que sea el fabricante, quién limite su utilización.
Vamos a ver quién toma la delantera en esta idea. Nuestro aliado en el día a día, Oracle Corporation o alguno de los competidores del mercado, como DB2 o SqlServer.
La clave estará, en escuchar lo que el cliente requiere y en la rápidez con la cuál, el proveedor pueda atender sus necesidades.
No hay comentarios:
Publicar un comentario
Te agradezco tus comentarios. Te esperamos de vuelta.