24/03/2006, 15:52
| |||
| |||
| Contraseñas encriptadas MD5 Hola tengo un script en php para recoger datos de usuarios (en base de datos mysql) en los que su contraseña no es encriptada. Como podría hacer para encriptarla tal y como dice la ley? |
|
25/03/2006, 03:08
| |||
| |||
| Los datos que voy a recoger son: nick Localidad Provincia Es decir, los datos que se piden en un foro. Tengo que notificar el fichero a la agencia de protección de datos y cumplir con los requisitos de seguridad? Última edición por jaalcant; 25/03/2006 a las 03:44 |
|
25/03/2006, 15:31
| |||
| |||
| Hola jaalcant, te aclaro que la encriptación de la contraseña se refiere a las cuentas de usuarios de un sistema informático. Como una empresa que tenga varios empleados que utilizan los ordenadores para el tratamiento de datos. En cuanto al fichero, no solo tienes que notificarlo al registro de la agencia, además tienes que cumplir con la obligación de informar a los interesados y unas cuantas cosas más. En faqs de esta sección tienes bastante información. Un saludo. |
|
26/03/2006, 04:32
| |||
| |||
| Entonces creo que estoy entendiendo mal el significado de esta ley. Por un lado tengo a unos usuarios que se han registrado en mi web, con un nombre y una contraseña. Esta contraseña permite tener un acceso más amplio a los contenidos de la web y permite que se comuniquen unos con otros. Esta contraseña no está encriptada dentro de su campo en la base de datos, por lo que yo como administrador , puedo acceder a ella. Entonces, a que se refiere la ley? A la forma para para acceder a la base de datos (mysql). |
|
26/03/2006, 09:32
| |||
| |||
| Medidas de seguridad nivel básico. El artículo 11.2 (Autentificación) del RD 994/1999, dice: “Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad.” Esto quiere decir que eres el responsable de que nadie sin autorización acceda a las contraseñas asignadas y que tienes que tener un procedimiento para el acceso no autorizado. Artículo 11.3 (Autentificación) del RD 994/1999, dice: “Las contraseñas se cambiarán con la periodicidad que se determine en el documento de seguridad y mientras estén vigentes se almacenarán en forma ininteligible.” Esto quiere decir que en tu Documento de Seguridad se tiene que especificar el procedimiento adecuado de asignación de contraseñas y de su almacenamiento. Según los datos que recoges, son de nivel básico, por lo que lo que tienes que hacer es evitar el acceso a personas no autorizadas. Por ejemplo Windows con tecnología NT dispone del Sistema de ficheros cifrados (Encrypted File System o EFS). |
|
26/03/2006, 09:52
| |||
| |||
| ok, entiendo. Entonces lo que tengo que controlar es el acceso a la base de datos y a los backups que tenga. Pero, lanzo otra pregunta. Y si lo que ofrezco en mi web es la posibilidad (previamente consentida por cada usuario, al aceptar las condiciones en el registro) de compartir sus datos de caracter personal, como nombre, email, localidad, provincia, incluso teléfono móvil???? Los usuarios, al registrarse, validarse y loguearse tienen acceso a datos de los otros usuarios (mas o menos como una web de contactos, tipo meetic o match.com). Se aplican aquí los estos requerimientos legales? O se supone que el usuario permite con la aceptación de las condiciones en su registro que se compartan sus datos? Lógicamente cada contraseña de acceso a la web la sabe sólo cada usuario, que además la puede cambiar en el momento que quiera, al igual que todos sus datos. Gracias. |
