FiveTech Software tech support forums

[informaticaeloy]

Hola compañeros,

he estado actualizando mi programa para que cumpla la LOPD 15/1999 del 13-dic y el RD 1720/2007 del 21-dic

Los requisitos que he implementado para el nivel básico son:
- contraseña para que cada usuario acceda al programa
- control de que si mete la contraseña mal 3 veces se desactive la cuenta hasta que el administrador la vuelva a activar
- contraseñas guardadas de forma ininteligible
- cada usuario tiene un control de acceso a según que partes del programa
- copias de seguridad donde se registra quien las hace y que guarda

Pero me quedan las siguientes dudas:
- ¿longitud de la clave? ¿es obligatorio 6 , 8 o 10 caracteres alfanumericos? o es lo que se defina en el documento de seguridad?
- ¿hay que guardar el registro de acceso de los usuarios (fecha, hora, a que parte del programa accede, que añade o modifica o elimina?
- caducidad de la contraseña a 1 año o 6 meses, ...

no se, en internet está la ley pero no explica que hacer exactamente. La veo muy "general".

LOPD 15/1999 del 13-dic
http://www.boe.es/boe/dias/1999/12/14/pdfs/A43088-43099.pdf

y el RD 1720/2007 del 21-dic
http://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/estatal/common/pdfs/RD_1720_2007.pdf

ejemplo 1 no oficial
http://www.colordeu.es/BLOG/lopd-ley-de-proteccion-de-datos-en-tus-aplicaciones-web

ejemplo 2 no oficial
http://www.forosdelweb.com/f83/faqs-temas-legales-348794/

Un slaudo.

[Carlos Mora]

Hola Eloy,
yo tambien debería ponerme con esto de la LOPD pero nunca hay tiempo suficiente, y lo vengo postergando desde hace bastante.
Lo fundamental es que tienes que considerar cual es al sensibilidad de los datos que registras, quienes tienen acceso a ellos, y en función de eso definir el nivel de seguridad requerido. Los tres niveles (bajo, medio alto) están definidos en la web de agpd.es.

No he visto normas con especificaciones tan detalladas como la longitudy calidad de la clave, he rebuscado y solo he encontrado opiniones, pero no reglamentación. Por lo que dice en el BOE, hay que cambiarla antes del año si o si, aunque alguien en un foro dice que hay que cambarla antes de 3 meses y no se vale repetir las ultimas 12 contraseñas, me parece un poco exagerado y no he visto las referencias de la legislación que afirmen eso.
Deberás presentar ante la agencia de PD el o los ficheros que la aplicación maneja con datos de personas, tales como la ficha de los trabajadores, clientes, proveedores, etc., incluyendo los campos que la ley dice que estan protegidos, y tomar las medidas necesarias para asegurar que esos datos no son accesibles por personas no autorizadas.


Lo que si leí es la responsabilidad de que la clave debe estar almacenada de forma que no se pueda recuperar, a menos que la aplicacion la use para algo.
Normalmente no guardo las contraseñas, sino el resultado de aplicar md5 a (contraseña+'cadenafija') , donde cadenafija es una cadena que modifica el resultado de manera consistente. Para validar el usuario se le debe aplicar la misma funcion md5 a (valorDelGet+'cadenafija'), así si la contraseña es correcta coincidirá con el valor que está almacenado. Con eso te evitas que la contraseña se almacene y alguien la pueda utilizar, o bien que alguien pueda obtener el algoritmo de encriptación de tu programa y descubrir las contraseñas aplicando un algoritmo inverso. Y si alguien se hace con el fichero el campo de las contraseñas no le va a servir ni para hacer siquiera un ataque por diccionario, ya que el resultado del md5 ha sido alterado por 'cadenafija'.

Es cierto lo que dices: la ley es general, porque expresa un criterio de seguridad, pero no puede decirte como implementarlo porque cada caso es un mundo. Debemos aplicar nuestro mejor criterio y garantizar lo que la ley exige.

Con lo que averigüe te lo paso y si comentas te lo voy a agradecer.

Un saludo