#16#4 ¿Contempla alguna norma, esas reducciones que hace la APD o las hace "motu propio"?. Porque si no tiene base legal para hacerlas la propia APD puede estar delinquiendo.
#20 A ver si consigo aclarar el tema que os veo pelín perdidos y divangantes:
La sanción es por incumplimiento del Documento de Seguridad que la propia empresa elabora, no por aportar tal o cual contraseña.
Es decir, les han sancionado por torpes ya que la propia empresa se ha puesto la soga al cuello y ha balanceado la silla.
1.- La sancion deviene de que en el Documento de Seguridad dicen que almacenan la contraseña cifrada por un mecanismo de hash que no permite descifrarla.
2.- Al aportarla descifrada implica que no están cumpliendo con SU documento de Seguridad y por ahí les cae la sanción. Por mentir y no cumplir con SU propia especificación de seguridad.
Si en el Doc. de Seguridad dices que la contraseña la guardas en claro y lo haces no hay sanción.
Si dices que la guardas cifrada o con hash y lo haces no hay sanción.
Pero si dices una cosa y haces otra incumples con las obligaciones del documento de seguridad.
Al respecto del almacenamiento de contraseñas.
Una contraseña "pepe" con hash se convierte en "asdefcasads". Esto último es lo que se almacena en la base de datos. Este valor no es posible reconvertirlo en "pepe". De esta forma se almacenan de forma segura las contraseñas. Para validar al usuario se repite el proceso de hash, es decir, si el usuario teclea "pepe" para identificarse, a ese "pepe" se le pasa la función de hash y dará como resultado "asdefcasads" que se compara con lo almacenado en la base de datos, lo cual implica que la contraseña es correcta.
Si en lugar de eso pone "juan" dara como resultado "sdfwerwerwe" que al compararlo con el valor almacenado "asdefcasads" indicará que la contraseña es incorrecta.
Por más que insisto a mis clientes que el Documento de Seguridad hay que hacerlo de tal forma que se cumpla con la ley pero que noles complique la vida, ya que hay que cumplirla, muchos pasan y luego ocurren cosas como estas.
Por ejemplo, la contraseña de root de mi máquina está almacenada como sigue: $6$CSl3oN1Dqx37bfNF$d6dgMrzy549z0YP7Fn2uKDKoxqbi9GtNYQxGeHI7m2s1nz8aSP74hotKUtTqTmmEE6qjlNb/8W46LjNM/ToSE.
Pero se corresponde a una contraseña de 8 caracteres.
#16 Ya lo digo en mi comentario. El Art 45.5 de la LOPD (y no el 44.5 que erróneamente dije antes) contempla reducir la sanción económica, no la calificación de la infracción: 5. Si, en razón de las circunstancias concurrentes, se apreciara una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho, el órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate.
