Alojamiento seguro y servicios de comunicación (RGPD)

El Reglamento General de Protección de Datos (RGPD / GDPR) (EU) 2016/679 es una regulación de la ley europea sobre la protección de datos y la privacidad para todas las personas residentes en la Unión Europea (UE) y el Espacio Económico Europeo (EEE) aplicable desde el 25 de mayo de 2018. Este documento presenta de una forma clara y transparente cómo tratamos los datos personales.

 

¿Quiénes somos?

Virtualroad.org (VR) es un proveedor de alojamiento y especialista en tecnologías de la seguridad. VR es un proyecto de “Qurium – The Media Foundation” (Qurium), una organización sin ánimo de lucro alojada en Suecian https://www.qurium.org

 

¿Qué servicios ofrecemos?

La misión de la organización es proporcionar soluciones de seguridad personalizadas que incluyan un “Servicio” para asegurar tanto el alojamiento de la página web como las comunicaciones de medios independientes y organizaciones de derechos humanos.

Nuestro “Servicio” se ofrece utilizando una plataforma ténica que ha sido diseñada para ayudar a prevenir, mitigar y atribuir cualquier tipo de ciber ataque.

Como parte del “Servicio”, reportes sobre la atribución de los ataques son liberados bajo el consentimiento de las víctimas ya que dichos reportes tienen un gran interés público.

Para llevar a cabo su misión, Qurium ha desarrollado internamente tecnología que permite ofrecer el “Servicio”. Entre los componentes de la plataforma técnica, operamos:

  • Una plafatorma de alojamiento
  • Una red de distribución de contenidos (CDN) optimizada para ser segura
  • Una infraestructura de mitigación de ataques de denegación de servicio (DDoS)

Cada uno de estos componentes recoge y procesa datos personales, como direcciones IP, que son necesarias para llevar a cabo nuestro “Servicio”.

Este aviso de privacidad explica cómo utilizamos la información personal y sus derechos con respecto a dicha información.

 

¿Qué datos recogemos y procesamos?

Existen tres categorías principales de información que recogemos:

  • Datos de clientes: Durante la fase de aprovisionamiento, establecemos los acuerdos de alojamiento y servicio con nuestros clientes utilizando canales de comunicación seguros. Para estos acuerdos firmados recogemos y almacenamos el nombre y la dirección de las organizaciones a las que proporcionamos el servicio y un punto de contacto (por ejemplo, un nombre y una dirección de correo electrónico). No necesitamos información bancaria, números de tarjetas de crédito, números de teléfono u otro tipo de información personal que pueda ser usada como indentificación.
  • Datos de visitantes: Recogemos registros de todas las conexiones realizadas a nuestros servicios de alojamiento. Hemos desarrollado una plataforma integral de recolección de registros que nos permite rastrear distintas formas de intrusión. Para prevenir el filtrado de datos, nuestros clientes NO tienen acceso por defecto a dichos registros de monitorización. Los clientes son debidamente informados y aceptan nuestro Acuerdo a nivel de servicio (SLA) para permitirnos ser quien procese los datos de los registros de los servicios que les proporcionamos.
  • Datos de atacantes: Cuando nuestros servicios de monitorización detectan ataques, el modo avanzado de recolección de registros es activado. Durante los ataques es posible que recolectemos paquetes de red completos y los almacenemos de forma segura para su posterior análisis forense. Las organizaciones que sean objetivo de ataques frecuentes, puede que tengan activado dicho modo avanzado por defecto.

¿Tenemos razones para recolectar dichos datos?

Recolectamos y procesamos este tipo de datos en nombre de nuestras organizaciones alojadas para permitir la prevención, mitigación y atribución de un gran rango de ciber ataques. La recolección y procesamiento de dichos registros es necesario para garantizar la seguridad de la red y la información de nuestros clientes.

 

¿Tenemos control de otras formas de recolección de datos?

Las organizaciones alojadas son responsables de diseñar y mantener sus propias páginas web. En muchos casos, plugins existentes en sus páginas web hacen uso de código de terceros para por ejemplo realizar “Analíticas del Tráfico”, acciones “Anti-Spam” o cargar contenido de otras páginas webs de terceros o redes de distribución de contenidos. Los clientes alojados son aconsejados para que utilicen la mínima cantidad de dichos componentes e informen a sus visitantes de su presencia. VR no tiene ningún control sobre la recogida de esos datos y no tiene ningún acuerdo con los proveedores de dichas soluciones.
 

¿Cómo utilizamos los registros de los datos?

Con los registros de los datos somos capaces de construir modelos que nos permitan identificar comportamientos anómalos en nuestra red y en los servicios que ofrecemos (Prevención) y la creación de mejores mecanismos de mitigación (Mitigación). Los registros de los datos son necesarios para atribuir los ataques contra nuestra infraestructura (Atribución).

 

¿Cuáles son las bases legales para el procesamiento de los datos?

Bajo la RGPD, las bases legales para el procesamiento de los datos tienen lugar en la Razón 49 de la regulación general sobre protección de datos de la UE 2016/679. “Qurium” es un proveedor de tecnologías y servicios de seguridad y un miembro activo de Civicert, un grupo que forma parte de los equipos de respuesta ante emergencias (CERTs). https://www.civicert.org

Esto podría, por ejemplo, incluir la prevención de acceso no autorizado a las redes de comunicaciones electrónicas y distribución de código malicioso y detener ataques de “denegación de servicio” y daños a ordenadores y sistemas de comunicación electrónica.

La Razón 49 dice:

Constituye un interés legítimo del responsable del tratamiento interesado el tratamiento de datos personales en la medida estrictamente necesaria y proporcionada para garantizar la seguridad de la red y de la información, es decir la capacidad de una red o de un sistema información de resistir, en un nivel determinado de confianza, a acontecimientos accidentales o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos personales conservados o transmitidos, y la seguridad de los servicios conexos ofrecidos por, o accesibles a través de, estos sistemas y redes, por parte de autoridades públicas, equipos de respuesta a emergencias informáticas (CERT), equipos de respuesta a incidentes de seguridad informática (CSIRT), proveedores de redes y servicios de comunicaciones electrónicas y proveedores de tecnologías y servicios de seguridad. En lo anterior cabría incluir, por ejemplo, impedir el acceso no autorizado a las redes de comunicaciones electrónicas y la distribución malintencionada de códigos, y frenar ataques de «denegación de servicio» y daños a los sistemas informáticos y de comunicaciones electrónicas.

 

¿Cómo compartimos los datos?

Nuestra política de compartición de datos se puede resumir en los siguientes tres principios:

  • NO divulgar la información de identificación personal de los clientes a nadie, excepto cuando hayamos recibido permiso para hacerlo.
  • NO divulgar la información de identificación personal de usuarios legítimos de nuestros servicios.
  • NO divulgar datos del atacante sin el consentimiento de las víctimas.

Estamos comprometidos a proteger la información personal de las personas en riesgo. En caso de que nos veamos legalmente obligados a divulgar información personal, buscaremos ayuda legal para asegurarnos de que el periodista o activista tenga una defensa legal efectiva en primer lugar.
 

¿Qué compartimos con el consentimiento de las víctimas?

Si recibimos permiso explícito de la(s) victima(s) y mientras sea necesario como parte de una investigación forense de un ciber ataque, puede que:

  • COMPARTAMOS datos de los atacantes así como sus métodos enpleados con terceros.
  • MINIMIZEMOS la compartición de tales datos a lo único y necesario para su correcto entendimiento.
  • COMPARTAMOS bajo la “Regla Chatham House” donde las víctimas de los ataques accedan a divulgar la información con la condición de no divulgar la fuente de la información (TLP:EX:CHR).

 

¿Cuáles son tus derechos?

Nuestros clientes tienen el derecho a conocer:

  • Qué datos están siendo procesados.
  • Dónde han sido obtenidos o recolectados tales datos.
  • El propósito o propósitos del procesamiento de dichos datos.
  • A qué terceros o categorías de terceros se van a compartir los datos.

Puedes usar cualquiera de estos medios para ejercer tus derechos:

A través de un sistema seguro de soporte https://support.virtualroad.org

A través de un correo electrónico a Leo Henrichsen, Chief Operating Officer (COO)

A través de un formulario web seguro https://www.qurium.org/contact