Holistic business approach for the protection of sensitive data: study of legal requirements and regulatory compliance at international level to define and implement data protection measures using encryption techniques

Abstract

La finalidad de este trabajo es mostrar el desafío de la protección de datos al que se enfrentan las empresas hoy en día para cumplir con los requisitos relevantes de las regulaciones existentes, y, por otro lado, identificar el uso del cifrado como solución para cumplir con dichos requisitos. Para ello se llevó a cabo una metodología híbrida, entre investigación y práctica, analizando por un lado las regulaciones actuales y las soluciones de cifrado, y por otro, desplegando y probando una de las soluciones en distintos casos de uso para el cumplimiento con las regulaciones. Como conclusiones observamos que vivimos en un mundo donde, los rápidos avances tecnológicos, conllevan la creación y modificación de leyes y regulaciones sobre protección de datos, a las que las empresas deben someterse y estar preparadas, existiendo una gran dependencia del cifrado de datos para el cumplimiento de los requisitos. Así que las empresas tienen que apoyarse en las soluciones de cifrado que existen en el mercado. Respecto a la solución de cifrado probada, Vormetric, cuenta con un amplio repertorio de herramientas y productos que a primera vista parecen ser capaces de cumplir con los requisitos solicitados por cualquier regulación que una empresa deba enfrentar en términos de protección de datos, ya sea en sus instalaciones, la nube o en entorno híbrido. Como líneas de trabajo futuro, la configuración de un sistema de monitorización de seguridad, y la implementación y configuración de políticas de almacenamiento y retención de acuerdo con los requisitos de las regulaciones.

The purpose of this work is to show the challenge of data protection faced by companies today to meet the relevant requirements of existing regulations, and, on the other hand, to identify the use of encryption as a solution to comply with these requirements. For this, a hybrid methodology was carried out, between research and practice, analyzing on the one hand current regulations and encryption solutions, and on the other, deploying and testing one of the solutions in different use cases for compliance with regulations. As conclusions we observe that we live in a world where, the rapid technological advances, entail the creation and modification of laws and regulations on data protection, to which companies must submit and be prepared, existing a great dependence on data encryption for the compliance with the requirements. So companies have to rely on the encryption solutions that exist in the market. Regarding the tested encryption solution, Vormetric, it has a wide range of tools and products that at first glance seem to be able to comply with the requirements requested by any regulation that a company must face in terms of data protection, whether in its facilities, the cloud or a hybrid environment. As future lines of work, the configuration of a security monitoring system, and the implementation and configuration of storage and retention policies in accordance with the requirements of the regulations.

El propòsit d'aquest treball és mostrar el repte de la protecció de dades a què s'enfronten les empreses d'avui per complir els requisits pertinents de les normatives vigents i, d'altra banda, identificar l'ús del xifratge com a solució per complir aquests requisits. Per a això, es va dur a terme una metodología híbrida, entre recerca i pràctica, analitzant, d'una banda, les normatives vigents i les solucions de xifratge, i de l'altra, desplegar i provar una de les solucions en diferents casos d'ús per al compliment de la normativa. Com a conclusions veiem que vivim en un món on els ràpids avenços tecnològics suposen la creació i modificació de les lleis i normatives sobre protecció de dades a les quals han de presentar i preparar les empreses, existint una gran dependència del xifratge de dades per al compliment dels requisits. Així doncs, les empreses han de confiar en les solucions de xifrat que existeixen al mercat. Pel que fa a la solució de xifrat provat, Vormetric, disposa d'una àmplia gamma d'eines i productes que a primera vista semblen poder complir amb els requisits exigits per qualsevol reglament que una empresa ha d'afrontar en termes de protecció de dades, ja sigui a les seves instal·lacions, el núvol o un entorn híbrid. Com a línies de treball futures, la configuració d'un sistema de seguiment de seguretat i la implementació i configuració de polítiques d'emmagatzematge i retenció d'acord amb els requisits de la normativa.