Legislación sobre firma electrónica en los EEUU

Para toda aquella empresa que quiera operar en los EEUU le resulta de vital importancia conocer aquello que la legislación establece en el ámbito de la firma electrónica. Ello afecta tanto a las relaciones mercantiles entre empresas, como a las relaciones de los entes privados con las administraciones públicas o, también, a los servicios de desarrollo de apps u otros que requieran de firma electrónica con el consumidor final, entre otros. 

finger-2081169_1280

A partir de la Ley de Modernización de la Seguridad de la Información (Act of 2014, 44 U.S.C. § 3551 y siguientes) se han establecido nuevos elementos al respecto, resultando especialmente reseñable lo establecido en la SP-800-175A (NIST). 

En resumidas cuentas podemos decir que en lo que concierne a la firma digital se establece que: 

1- Se permitirá la relación, y transacción, con la administración por vía electrónica -con carácter general- de todas las personas físicas y jurídicas 

2- Se establece plena equivalencia entre los contratos celebrados en papel y los contratos celebrados electrónicamente, así como se establece plena equivalencia entre aquellos documentos firmados a mano con tinta y aquellos firmados electrónicamente 

Como podemos ver existe una importante fuerza de la firma digital a todos los efectos, lo que potencia enormemente las relaciones administrativas y contractuales –de todo tipo- por vía electrónica. 

En Castillón Consulting Abogados ofrecemos todo tipo de servicios legales en los Estados Unidos de América. 

Anuncios
Publicado en Sin categoría | Etiquetado , , , | Deja un comentario

Leyes de datos personales y seguridad cibernética en los EEUU

Actualmente ya se puede decir que los 50 estados de la nación estadounidense cuentan con algún tipo de regulación que tiene que ver con el tratamiento de la protección de datos relacionado con el ámbito de la seguridad cibernética 

Lo anterior es muy importante de conocer por las empresas pues aquellas empresas que operan en el país, y que lo hacen en más de un estado, lo hacen en un entorno que no resulta homogéneo en el aspecto que aquí nos ocupa y aquello que establece la ley en un estado determinado puede ser ostensiblemente diferente en otro. Del mismo modo puede decirse que la ley no establece exactamente lo mismo en un lugar que en otro. 

clause-1462968_1280.png

Así, las responsabilidades en las cuales puede incurrir una empresa o negocio cualquiera en el caso de que sus datos se vean expuestos por un acceso indebido a los mismos pueden ser muy diferentes y de calado muy diverso. Todo ello afecta tanto a los datos que la susodicha empresa pueda disponer de sus clientes, de sus empleados o de cualquier tercero. 

Aunque, tal y como se está mencionando, la legislación es diferente según cada estado cierto resulta que existe un común denominador que se puede considerar que aplica de forma transversal con independencia del estado: la necesidad de notificar de la brecha en los datos a la persona afectada (y en el caso de los datos afectos derivados de una relación mercantil entre empresas sobre el cliente de una empresa que mantenga la otra para el envío de comunicaciones comerciales, entonces la comunicación la deberá realizar la empresa afectada a la empresa que es titular primaria de los datos de su cliente afectado). 

La necesidad de notificación es algo común a los distintos estados, pero no lo es el momento en el cual nace la obligación de realizar esa comunicación. Una buena norma general al respecto sería la de decir que nace comúnmente cuando se ha producido una exfiltración o se han visto comprometidos en cualquier grado datos relacionados con los supuestos que se expondrán a continuación: 

Si se ha producido una exfiltración del nombre y apellido de la persona en cuestión normalmente requerirá de notificación, lo mismo sucederá si el dato comprometido tiene que ver con datos financieros (numeración de tarjetas de crédito, cuentas bancarias, etc.). 

En el mismo supuesto que en los casos anteriores nos encontramos ante una situación donde los datos comprometidos tienen que ver con una dirección de correo electrónico o con los números de la seguridad social o de la licencia de conducir, así como con datos relacionados con el perfil médico utilizado por las aseguradoras. 

Por supuesto lo anterior no resulta para nada una lista exhaustiva y no detalla cada uno de los supuestos, sea cual sea el caso resulta de interés el recordar que aplicará la jurisdicción del estado de la persona afectada y no la del estado en el cual se encuentre la empresa. 

Existen una serie de recomendaciones generales a seguir por las empresas para evitar ser pasto de estos sucesos, así como existen algunas promulgaciones de obligado cumplimiento al respecto, siempre aplicando la realidad estatal que resulte de menester. Cabe destacar que cada vez más se habla de un entorno federal que vendrá a marcar, en mayor medida, una línea común que no ponga fin a la disparidad pero que sí que haga un poco más homogéneo más el dispar marco regulatorio “ciberlegal” actual. 

Desde Castillón Consulting Abogados ofrecemos todo tipo de servicios legales en los Estados Unidos de América y, personalmente, ofrezco todo tipo de servicios y formación relacionada con el ámbito de la ciberseguridad.

Publicado en Sin categoría | Deja un comentario

Actualizaciones de seguridad de Microsoft (marzo 2018)

Recientemente Microsoft ha publicado las actualizaciones de seguridad para este mes de marzo 2018, las mismas están disponibles desde el día 13 de marzo.

office-1356793

Concretamente las aplicaciones alcanzan al siguiente software:

Internet Explorer

Microsoft Edge

Microsoft Windows

Microsoft Office, Microsoft Office Services y Web Apps

Microsoft Exchange Server

ASP.NET Core

.NET Core

PowerShell Core

ChakraCore

Adobe Flash

Con relación a todas las actualizaciones se deben tomar en consideración las siguientes cuestiones particulares:

Las actualizaciones de Windows 10 resultan acumulables. Los lanzamientos de seguridad mensuales incluyen tanto las soluciones de seguridad para vulnerabilidades que afectan a dicho S.O así como a todas aquellas actualizaciones que no tienen relación directa con la seguridad. Todas las actualizaciones se encuentran disponibles en el catálogo oficial de actualizaciones de Microsoft.

Las actualizaciones de Windows RT 8.1 y el software de Microsoft Office RT únicamente están disponibles a través de Windows Update.

A partir del 9 de mayo del 2018 aquellos usuarios que ejecuten la versión 1507 de Windows 10 ya no recibirán actualizaciones de seguridad y calidad, todo ello con la excepción de los usuarios que utilicen las versiones Windows 10 2015 LTSB y Windows 10 IoT Enterprise 2015 LTSB.

Publicado en Sin categoría | Etiquetado , , , | Deja un comentario

Actualización de seguridad para Magento

Magento es una de las principales plataformas de código abierto destinadas al comercio electrónico y la misma es utilizada por una gran cantidad de usuarios, por ello cuando se presenta alguna vulnerabilidad en la misma es tan importante ponerle solución.

e-commerce-1606962

 

Al respecto recientemente se acaba de anunciar una actualización que soluciona vulnerabilidades detectadas en la plataforma. Concretamente se han detectado vulnerabilidades Cross-Site Scripting, riesgo de ejecuciones remotas con permisos de administrador, etc.

Dichas vulnerabilidades han sido catalogadas como de riesgo algo y por ello se recomienda a los usuarios de Magento aplicar la actualización a la mayor brevedad posible.

Concretamente los usuarios que deben aplicar dicha actualización son los usuarios de las versiones afectadas que son las siguientes: Magento Commerce (2.2.3, 2.1.12 y 2.0.18) y Magento Open Source (2.0.18, 2.1.12 y 2.2.3)

Publicado en Sin categoría | Etiquetado , , , | Deja un comentario

Alerta sobre vulnerabilidades en Drupal

En los últimos años Drupal se ha convertido en uno de los CMS más famosos del mercado, si se tiene instalada una de las versiones vulnerables afectadas de Drupal conviene actualizar rápidamente pues se han publicado recientemente las actualizaciones ante vulnerabilidades que se habían detectado.

drupal-2317836_1280

Las versiones afectadas por las vulnerabilidades detectadas y clasificadas como vulnerabilidades de riesgo alto son las versiones 8.4.X y 7.X, si se dispone de cualquiera de estas versiones resulta urgente proceder a su actualización.

Para encontrar solución a estas vulnerabilidades se deberán aplicar las actualizaciones 8.4.5 en el caso de aquellos usuarios que tengan una versión de Drupal 8 afectada y en el caso de los usuarios cuya versión afectada provenga de un sistema de Drupal 7 la actualización que resultará aplicable será la 7.57.

Del mismo modo que se recomienda siempre en todos estos casos resultará muy importante realizar copia de seguridad de todos los datos del aplicativo antes de proceder a su actualización.

Publicado en Sin categoría | Etiquetado , , | Deja un comentario

Vulnerabilidad definitiva en la versión clásica de Skype

Recientemente se acaba de hacer pública una vulnerabilidad muy importante en la versión de escritorio clásica de Skype.

Este popular servicio de llamadas, videollamadas y mensajería es utilizado por millones de personas y empresas de todo el mundo y se recomienda encarecidamente a los usuarios de dicha versión que la desinstalen de sus sistemas Windows (7 y 8.1 principalmente) pues el riesgo de sucumbir a un ataque es importante.

social-1852360_1280

Cabe destacar que no se debe esperar ningún parche de seguridad que solucione la vulnerabilidad pues Microsoft ya ha anunciado que no se realizará dada la complejidad de solucionar dicho problema y que desaparecerá dicha versión de la aplicación, así que desde estos mismos momentos es mejor ya no utilizarla.

Decir que el sistema de Skype en su conjunto sigue siendo igual de seguro que siempre para todos los clientes y que los usuarios de cualquier otra versión de Skype (todos los usuarios de un Windows 10, todos los usuarios que utilicen las apps móviles para iOS, Android y cualquier otra versión) no deben de preocuparse por nada.

Publicado en Sin categoría | Etiquetado , , , , | Deja un comentario

Alertas de seguridad del US-CERT

El organismo gubernamental de los EEUU denominado US-CERT publica de forma permanente alertas sobre los riesgos relacionados con la seguridad cibernética. Este servicio de boletines provee de una información muy útil a todo aquel que quiera estar informado de las nuevas vulnerabilidades que se van descubriendo y listando.

padlock-2068583_1280

La base sobre la que se asienta el US-CERT es multi-compartimental ya que está conformada tanto por organismos como el NIST como por el Departamento de Seguridad Nacional, entre otros.

Resulta interesante conocer que todas las alertas que se ofrecen vienen categorizadas por nivel de gravedad en base a una nomenclatura estándar determinada por el sistema de puntuación CVSS. Así, las alertas pueden tener un riesgo bajo, medio o alto.

Dentro de las alertas de riesgo bajo se encuentran las que tienen un puntaje que no llega a una escala de 4 sobre 10 bajo el sistema CVSS. Las alertas de riesgo medio son aquellas que tienen una puntuación entre 4 y 6.9 y las que alcanzan los 7 puntos o más son consideradas alertas de riesgo alto.

Publicado en Sin categoría | Etiquetado , , | Deja un comentario

Actualizaciones de seguridad de CISCO

La compañía CISCO acaba de lanzar distintas actualizaciones para solucionar vulnerabilidades en distintos productos de la enseña.

Se recomienda encarecidamente a todos los usuarios de los productos a continuación reseñados, así como a los administradores de estos, que procedan a su instalación lo antes posible para evitar una posible intrusión y toma de control de los sistemas afectados.

En los siguientes links se encuentran tanto las recomendaciones de seguridad que ofrece CISCO como la aplicabilidad de estas:

Cisco RV132W and RV134W Remote Code Execution and Denial of Service Vulnerability:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180207-rv13x

Cisco Virtualized Packet Core-Distributed Instance Denial of Service Vulnerability:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180207-vpcdi

Cisco UCS Central Arbitrary Command Execution Vulnerability:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180207-ucsc

Cisco Policy Suite RADIUS Authentication Bypass Vulnerability:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180207-cps

Publicado en Sin categoría | Etiquetado , , | Deja un comentario

Cyber Essentials para las empresas

Existen distintos marcos de trabajo que permiten a las empresas adecuar sus procedimientos, sistemas y todo su engranaje y entorno a los requerimientos que en materia de ciberseguridad se precisan. El problema de algunos de estos marcos de trabajo (COBIT, ISO, etc.) es que los mismos parecen más pensados y planteados para las grandes empresas por su alto grado de complejidad -y costes- llegado el momento de implantarlos.

hacking-2964100_1280

Por todo lo anterior, encontrar un marco de trabajo sencillo y más pensado para las pequeñas empresas de todo el mundo supone una gran aportación y solución para todas aquellas empresas y profesionales que no cuentan con presupuestos descomunales para hacer frente a sus imprescindibles y necesarias medidas y adecuaciones en materia de seguridad, y ello es lo que nos aporta un marco de trabajo como el “Cyber Essentials”.

El marco de trabajo Cyber Essentials es un marco de trabajo desarrollado por el Gobierno del Reino Unido, concretamente está bajo el paraguas del organismo gubernamental National Cyber Security Centre y aporta las piezas clave necesarias para proteger a cualquier pequeña empresa de las ciberamenazas más recurrentes y para estar al día en materia de ciberseguridad.

Gracias al planteamiento del Cyber Essentials se consigue securizar la conexión a Internet, así como securizar tanto el software y hardware que se disponga amen de permitir aspectos tan importantes como crear un buen sistema de acceso a los datos y servicios propios o protegerse de las infecciones de malware y del resto de amenazas existentes.

Siguiendo el marco de trabajo Cyber Essentials se logra disponer de un parque de software y hardware actualizado, aporta un buen mapa para conocer de primera mano la situación de seguridad de la empresa, así como permite disponer de un buen panel de mando y control de todo ello, sin olvidar que las empresas también logran una mayor reputación ante terceros gracias a su compromiso con la ciberseguridad y que incluso ven aumentar sus posibilidades de negocio.

Publicado en Sin categoría | Etiquetado , , , , , | Deja un comentario

Alerta: Actualización de seguridad para Joomla!

Joomla! es uno de los principales sistemas de gestión de contenidos (CMS por sus iniciales en inglés). Pues bien, los usuarios de este conocido gestor deben conocer que se han encontrado varias vulnerabilidades y que se acaba de publicar una actualización de seguridad que las soluciona.

cms-428667_1280

Si se tiene instalada una versión Joomla! entre la 1.5.0 y la 3.8.3 urge aplicar dicha actualización.

Para aquellos usuarios que tengan instalado por ellos mismos el CMS en cuestión deberán actualizar su sistema a la versión 3.8.4, ello lo pueden realizar desde la misma página Web oficial de Joomla! o, alternativamente, también pueden realizarlo desde el panel de gestión integrado de su CMS.

De tener el CMS con un tercero es importante cerciorarse de que este proveedor ha actualizado el Joomla! a esta versión mencionada y en caso contrario urgirle a que lo haga.

Publicado en Sin categoría | Deja un comentario