Desde que se planteó la posibilidad de poner en marcha la Plataforma CIMA, un reto era el garantizar que la propia Plataforma y la información que en ella se iba a tratar lo hacía bajo unos estándares de seguridad adecuados y que generaran confianza a todas las partes implicadas: Entidades Aseguradoras, Corredores y Empresas Tecnológicas.
Por lo tanto, una de las primeras decisiones que se adoptó fue la realización de un análisis que pusiera de manifiesto cuáles eran los requerimientos que en materia de seguridad y privacidad debían tenerse en cuenta.
Este tipo de análisis forma parte de la metodología para todos nuestros proyectos, incluso en aquellos en los que no se tratan datos de carácter personal, ya que el impacto que, a nivel legal, pueden tener los diferentes proyectos abordados no se circunscribe, únicamente, a cumplir en el RGPD e implantar las medidas de seguridad necesarias.
Estos análisis son fruto de la aplicación de los principios recogidos en el RGPD, Privacy by Design (Privacidad desde el Diseño) y Privacy by Default (Privacidad por Defecto). Con ellos se pretende realizar un examen de los nuevos proyectos o servicios, con carácter previo a su puesta en funcionamiento, con el fin de identificar los riesgos y amenazas a los que están expuestos los datos de carácter personal que se sometan a tratamiento en todo el ciclo de vida del producto o servicio. De ese modo, se podrán abordar las posibles deficiencias que hubieran sido detectadas, e implantar los controles necesarios con objeto de garantizar la proactividad que la normativa exige a responsables y encargados del tratamiento. En definitiva, el análisis tiene como finalidad atender los principios de privacidad desde el diseño y por defecto, como parte del principio de accountabillity o responsabilidad proactiva, que exigen que el proyecto tenga en cuenta la normativa de protección de datos desde su diseño, así como durante su implementación.
El estudio se materializa, básicamente, en el análisis del servicio y sus funcionalidades, los datos objeto de tratamiento, el ciclo de vida del dato, un análisis del riesgo que supone para los afectados y qué medidas de seguridad es necesario aplicar para mitigar los riesgos detectados. Deteniéndonos en las medidas de seguridad y sin olvidar que TIREA tiene certificado bajo estándar 27001 su Sistema de Gestión de la Seguridad, las principales medidas adoptadas garantizan:
- El cifrado y seudonimización de la información.
- Uso de metodologías de desarrollo seguro basados en estándares comúnmente reconocidos.
- Cifrado de las comunicaciones.
- Bastionado de infraestructura.
- Identificación y autenticación inequívoca de usuarios.
- Mantenimiento de logs y Registros de Acceso.
- Servicios Web Seguros.
- …
Con éstas y el resto de medidas aplicadas, se pretende seguir generando un alto grado de confianza en el sector y responder, de forma responsable y transparente, a las necesidades y requerimientos que nos trasladan nuestros clientes.