EDICIóN GENERAL
231 meneos
 

Aportar contraseñas en un juicio es ilegal

En el caso de hoy tenemos a Fleurop Interflora España (Interflora), que ante la presunta estafa llevada a cabo por un cliente al pagar uno de sus productos vía web con una tarjeta de crédito de la que no era titular, presentó denuncia ante el juzgado correspondiente. Entre la documentación presentada al órgano jurisdiccional aportó una hoja en la que, entre otros datos, se indicaba el nombre de usuario y la contraseña de acceso utilizados por el presunto estafador en la web de clientes de Interflora

etiquetas: derechos , ley , privacidad , interflora , contraseñas
137 94 0 K 587 mnm
137 94 0 K 587 mnm
Interflora declaró a la AEPD en un primer momento que las contraseñas en efecto se almacenan de forma ininteligible (no inteligible) pero que el Administrador de la web, mediante unas herramientas, puede descifrarlas para que, en casos como este, se pueda acompañar la contraseña en la denuncia.

Se consigue probar que las contraseñas estaban en texto claro en la base de datos de Interflora, y la Agencia advierte que “no es que se aporte en abierto (la contraseña) para que el Juzgado pueda visualizarla, que también es sancionable, sino que previamente se hallaba visible“.
#1 #8 Pues en un sitio en el que trabajé hace años, en cierta aplicación que utilizabámos las usuarios y claves las guardaba esta aplicación en una base de datos Access. Y la cuestión es que es una aplicación comercial, que se vende, no hecha a medida. Me parecería muy fuerte que sancionaran a la empresa cuando el funcionamiento de la aplicación es así.
La cuestion es que la contraseña, asi como los datos de una persona son privados, por lo tanto no se pueden hacer publicos.

Sobre lo que comenta #12, el responsable de velar por la seguridad de los datos es la empresa que los almacena, no la que realiza el programa. Si el programa no es valido (no permite cumplir con la ley) deben cambiar de programa a uno que si se ajuste.
#2 de 60.000 pavos lo deja en 1.000, de mientras al cliente la cargan una compra no realizada, ¡alucinante!.
Poli,(#0) yo quitaba lo de --Nota:Lease la noticia...

Es pelín evidente que hay que hacerlo, pero a mi me suena feote.

#2 Es habitual que la AGPD aplique el Art 44.5 para reducir el importe de la sanción. Es un poco el equivalente a no entrar en la trena si te condena a 2 años o menos. En cierta medida es coherente, muchas empresas no aguantarían una sanción grave de mínimo 60.000€. Eso si, cuando la cosa es seria o la empresa repite, entonces pegan el hostión.

Básicamente se agarran…   » ver todo el comentario
#4 Ya esta eliminado ;)
#5 Pues hala, meneo.

Bueno, realmente es que he estado leyendo la noticia e indagando sobre una modificación que pretenden hacer sobre el tema de videovigilancia. Nos vamos a cagar como la lleven a cabo. Cámaras sin control de ningún tipo.
#6 ¿Que noticia?
#4 ¿Contempla alguna norma, esas reducciones que hace la APD o las hace "motu propio"?. Porque si no tiene base legal para hacerlas la propia APD puede estar delinquiendo.
A ver si consigo aclarar el tema que os veo pelín perdidos y divangantes:

La sanción es por incumplimiento del Documento de Seguridad que la propia empresa elabora, no por aportar tal o cual contraseña.
Es decir, les han sancionado por torpes ya que la propia empresa se ha puesto la soga al cuello y ha balanceado la silla.

1.- La sancion deviene de que en el Documento de Seguridad dicen que almacenan la contraseña cifrada por un mecanismo de hash que no permite…   » ver todo el comentario
#20, #23, en la fuente, el autor en un comento da una aclaración a ese respecto (no sé si serás el que comentaba lo mismo allí). El titular es correcto, sólo hay que leer la noticia, y respecto a la obligación de cifrar las contraseñas, eso era una obligación del Real Decreto 994/1999 (del año 1999), que el actual Real Decreto 1720/2007 ha recogido en idéntico sentido, de hecho es lo primero que se puede leer en el artículo:

El artículo 11.3 del derogado Real Decreto…   » ver todo el comentario
#24 Cierto, con respecto a la afirmación en #20 ya lo aclaré en #23 ;)

Con respecto al titular creo que no es correcto expresarlo como "Es ilegal presentar la contraseña"
El RD no establece la irreversibilidad del cifrado, solo que se debe almacenar en forma ininteligible. Yo puedo usar un sistema de cifrado de clave pública, en lugar de Hash y cumplo con el RD. Además tengo un sistema de gestión de contraseñas auditado y asunto resuelto.

Por eso es por lo que te he…   » ver todo el comentario
#24, Corrección sobre #25: Llevas toda la razón, el comentario #23 sigue siendo incompleto. Ambos RD decían lo mismo sobre las contraseñas. No lo recordaba.

Y pensandolo detenidamente tambien les sancionan por incumplir el RD 1720/2007, pero no por el hecho de presentar la contraseña en el juicio. Si hubiesen tenido un sistema de cifrado reversible no habria habido problema.
#26 :-) es interesante leer comentarios como los tuyos Stash; en efecto podemos tener opiniones diversas, en mi caso comparto la de la Agencia en el sentido de que facilitar una contraseña en un juicio (cuando no es requerida por un juez) va a suponer infracción del RD correspondiente.
#27 Por supuesto :-) , pero bajo la condición de que en tu Documento de Seguridad hayas establecido que la aplicación para gestionar ese fichero guarda la contraseña cifrada de forma irreversible. En ese caso estoy al 100% contigo. Sin dudarlo un milímetro. Y estoy de acuerdo con la resolución al 100%.

Pero si en la descripción del fichero y sus aplicativos de acceso decides implementar cifrado reversible con una contraseña maestra de doble custiodio y auditoría de su uso, te reservas…   » ver todo el comentario
Normal, las contraseñas no hay que guardarlas en claro, ni siquiera cifradas si luego se pueden descifrar, las contraseñas se guardan aplicándoles un hash, y se comprueban aplicando el hash a lo que mete el usuario al hacer el login.
Erlang, Cuando nos echen a todos por menear en el trabajo y recurramos la sentencia, tú dí que no almacenais contraseñas ¿eh? xD
Es decir, lo que es ilegal es almacenar las contraseñas en claro. Aportarlas en un juicio no es ilegal por sí mismo, sino que es una demostración pública de la ilegalidad anterior. ¿Es así, no?
#10: No exactamente. Que se aporte en un juicio la contraseña en claro no tiene nada que ver con cómo esté almacenada en la BD, por lo este hecho no demuestra nada por sí mismo.

Los hechos que citas son totalmente independientes, y la AGPD contempla sanciones para ambos (supongo que uno por no utilizar las medidas de seguridad reglamentarias para almacenar información personal como es una contraseña, y otra por aportarla en un juicio y revelarla).
Pero, por ejemplo, en una página "normal" donde no haya transacciones económicas (el propio Meneame por ejemplo) es ilegal guardar las contraseñas en claro?
Pues lo de cambiar las contraseñas una vez al año no lo cumple ni una
O sea, que si mi contraseña es pepitocabrónhideputa el tal Pepito no puede denunciarme por injurias porque al aportar la contraseña le sanciona la AEPD...

Esto abre posibilidades hasta ahora inexploradas :-P
#17: La cuestión es que el tal Pepito no debería poder tener acceso a tu contraseña sin tu permiso, salvo por orden judicial. Si presenta una denuncia por ese motivo, ciertamente va a cantar.

Por otra parte... ¿por el uso de una contraseña ofensiva se puede denunciar a alguien? Ahora me entero... :-S
El titular correcto sería:
"No cumplir con lo que se dice en el Documento de Seguridad acarrea sanciones"
Estupendísima aclaración, Stash. Ahora sí encajan todas las piezas.
Una corrección a mi comentario #20

Donde dice
"Si en el Doc. de Seguridad dices que la contraseña la guardas en claro y lo haces no hay sanción. "

debería decir:
"Si en el Doc. de Seguridad dices que la contraseña la guardas en claro y lo haces no hay sanción. Sin embargo desde la entrada en vigor del RD1720/2007 la contraseña se debe obligatoriamente guardar cifrada, con o sin mecanismo de recuperación, pero cifrada"
comentarios cerrados

menéame