martes, 13 de enero de 2015






1. Test de Intrusión externos, internos y mixtos. (Caja Negra, blanca o gris)


Simulamos ataques controlados mediante test avanzados desde dentro y fuera de la
infraestructura de sistemas de la compañía, detectamos todas las posibles vías de acceso que
podría tener un atacante a sus sistemas de información, descubrimos el nivel de inseguridad
que tiene la totalidad de la red de su empresa y demostramos los riesgos que suponen para su
compañía el acceso ilegal a la red interna de su empresa.

Con el test de intrusión no nos conformamos con detectar las vulnerabilidades de sus
sistemas de información, las explotamos, demostrando con los resultados obtenidos la
consecuencias de un acceso no autorizado a sus Sistemas de Información y damos las
soluciones que eliminan todos los problemas de seguridad internos y externos detectados,
reforzando así la seguridad en sus Sistemas de información.

Características de Test de caja negra (externo):

El concepto principal de un test de caja negra es simular los métodos de ataque de un
hacker con sus mismos recursos. El auditor sólo dispone de información pública sobre el
objetivo, y a través de esta intenta identificar los agujeros de seguridad que puedan
comprometer información sensible o las operaciones del sistema. Cuando se aplica
correctamente este test, se puede simular no sólo ataques de hackers al azar, sino también de
hackers que se dedican a obtener algún acceso inicial al sistema.

Este test imita lo que un verdadero hacker haría, y proporciona al cliente una
evaluación realista del nivel de riesgo al que está expuesto el sistema. Si el auditor puede
identificar alguna vulnerabilidad a través de este test es probable que un hacker también
pueda identificarla.

Características de Test de caja blanca (interno):

Antes del test de caja blanca los auditores se proveen de toda la información necesaria
para evaluar mejor la seguridad del entorno sometido a prueba, incluyendo el código fuente,
archivos de configuración, documentación, diagramas, etc. Esto permite una revisión a fondo
del sistema, identificando no sólo las vulnerabilidades inmediatas, sino también secciones de
código y configuraciones potencialmente peligrosas, puertas traseras, y defectos de
construcción. El test de caja blanca puede requerir más recursos, tanto del auditor como del
cliente, para proporcionar la información pertinente.

Características de Test de caja gris (mixto):

El test de caja gris combina los tests de caja negra y caja blanca. Este test hace pruebas con
métodos similares a los de la caja negra, simulando ataques reales. Sin embargo, a diferencia
del test de caja negra, el atacante dispone de la información técnica pertinente del sistema, y además se le permite pedir información adicional señalada con comentarios como con los del
test de caja blanca.

2. Análisis Forense

Analizamos al detalle el escenario de las acciones no autorizadas que se producen en
los sistemas de información de la empresa, identificación del autor, las causas y el método
empleado y definición de las medidas para prevenirlos en el futuro. El análisis forense es la
solución ideal para empresas que tienen la necesidad de investigar los incidentes de seguridad
informática que se producen en sus sistemas de información. Permite tomar las medidas
oportunas para que el suceso no vuelva a ocurrir, además de conocer en profundidad los
detalles del mismo.

El análisis forense le ayudará a:

• Descubrir las vulnerabilidades que han hecho posible el ataque.
• Descubrir el origen y el autor del ataque.
• Identificar y determinar las acciones realizadas y las herramientas y métodos utilizados en el
ataque.
• Establecer las medidas adecuadas para que la situación no se repita.
• Descubrir las vulnerabilidades que han provocado un ataque en su empresa

Con el análisis forense, le ayudamos a descubrir las vulnerabilidades existentes que
hacen posible que sus sistemas de información sean atacados. A través de un análisis
exhaustivo del sistema de información de la empresa somos capaces de detectar las lagunas
de seguridad que tienen sus sistemas de información como son:

• Accesos no autorizados.
• Comportamiento anómalo del sistema.
• Problemas derivados del personal interno.
• Destrucción de datos.
• Uso no autorizado de material.
• Filtraciones de documentos confidenciales.

3. Auditoría de código fuente

El Análisis de Aplicativos y del Código fuente ayuda a las empresas a conocer el nivel de
seguridad de las aplicaciones utilizadas en sus sistemas de información, estudia el nivel de
seguridad del código de las aplicaciones de la empresa y del software de base en que se apoya.

Permite:

• La Detección de las vulnerabilidades de las aplicaciones.
• Mejorar la seguridad de los Sistemas de Información.
• Mejorar la eficiencia de la empresa.

El Análisis de Aplicativos y del Código fuente facilita la detección de las
vulnerabilidades y lagunas de seguridad que pueden tener las aplicaciones internas y las
aplicaciones Web de su empresa gracias a un:

• Análisis de las aplicaciones utilizadas en los sistemas de información de la empresa.
• Análisis de los elementos interactivos e informativos de la Web.

Permite conocer el grado de inseguridad de las aplicaciones ante una intrusión,
ayudando a mejorar la calidad de la configuración de las aplicaciones de las estructuras
informáticas.

Con el Análisis de Aplicativos y del Código fuente, proporcionamos un abanico de
soluciones que le ayudan a eliminar las vulnerabilidades detectadas en las aplicaciones de la
empresa y su código fuente.

jueves, 27 de noviembre de 2014

FDB_Imagen_Curso

                                     Protección de Datos en Asesorías Fiscales y Laborales

             En numerosas ocasiones, los asesores laborales y fiscales nos preguntan por el nivel de seguridad que deben aplicar en la Protección de Datos de sus despachos. Existen distintos niveles de seguridad dependiendo del tipo de datos con el que estemos trabajando: Alto, Medio o Bajo. Sin embargo, situaciones concretas en el desarrollo del servicio para sus clientes posibilitan alguna que otra confusión. 
           El Informe 0511/2009 del gabinete jurídico de la AEPD  da respuesta a una consulta presentada por un colectivo de asesores fiscales y laborales. En la resolución citada se establecen distintos niveles de seguridad aplicables, según el dato personal con el que estemos tratando.
Así, el Estatuto de los Trabajadores ha atribuido facultades específicas a la empresa que posibilitan el control del desarrollo de la prestación laboral. El ejercicio de estas facultades comporta en muchas ocasiones tratamientos de datos personales.

                 Datos de salud   

En relación con la gestión de recursos humanos y, más concretamente, los datos de salud de los empleados, desde el 1 de julio de 2008 es aplicable el artículo 81.6 del Reglamento de desarrollo de la Ley Orgánica que dispone claramente que serán exigibles las medidas de seguridad de nivel bajo en aquellos ficheros que contengan uno o varios de los siguientes datos: 

  • La mera indicación del grado o porcentaje de minusvalía del afectado o de los miembros de su unidad familiar a los efectos previstos para el cálculo de las retenciones en la legislación reguladora del Impuesto sobre la Renta de las Personas Físicas.
  • La indicación del datos “apto” o “no apto” de un trabajador a los efectos previstos en la Ley de Prevención de Riesgos Laborales.
  • Los datos relacionados con las obligaciones impuestas al empresario por la legislación vigente en materia de seguridad social que se limiten a señalar únicamente la existencia o no de enfermedad común, enfermedad profesional o accidente laboral o no laboral, así como la incapacidad laboral del trabajador.
Por el contrario, deben implantarse las medidas de seguridad de nivel alto a los ficheros que contuvieran datos relacionados con los resultados de las acciones de vigilancia de la salud distintos del meramente referido a la aptitud del trabajador o incorporasen los datos relacionados con la concreta enfermedad o accidente padecido por el trabajador, al vulnerarse en mayor medida la intimidad de los datos del trabajador afectado.

Antes de recabar este tipo de datos es necesario analizar la proporcionalidad del tratamiento y la legitimación para el mismo.

Datos de afiliación sindical

En otro orden de cosas, la Constitución Española reconoce el derecho a la libertad sindical, y la legislación de desarrollo establece un conjunto de derechos, competencias y funciones para los representantes de los trabajadores cuya satisfacción requiere del tratamiento de datos personales y del establecimiento de ciertos flujos de datos habitualmente mediante comunicaciones de éstos desde la empresa.

La cesión de datos más común a las organizaciones sindicales es la relativa al cobro de la cuota sindical en el pago de la nómina. Puesto que se trata de una solicitud que debe realizar el propio trabajador deben darse los requisitos que establece el art. 7.2 LOPD: 

“Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado”.

Por lo que respecta al tratamiento en los ficheros de las empresas del dato de afiliación sindical de los trabajadores, la Agencia se ha referido al tratamiento en la nómina de la condición de afiliado a un sindicato del trabajador con la finalidad de proceder a la detracción de la cuota sindical, llegando a la conclusión que se aplica en este supuesto el nivel de seguridad bajo de protección de estos datos, en virtud de la aplicación del artículo 81.5 a) del Reglamento de desarrollo de la Ley Orgánica 15/1999.

Aportación a la Iglesia Católica

En esta resolución la AEPD se centra, en relación con el desarrollo de las actividades de asesoría fiscal, en la elección del contribuyente de marcar la casilla correspondiente a la aportación a la Iglesia Católica.

En este sentido la AEPD se ha pronunciado afirmando que “la revelación del ánimo de colaborar en el sostenimiento de la Iglesia Católica no revela necesariamente las creencias del contribuyente”. En consecuencia, al no tener dicho dato el carácter de especialmente protegido, su tratamiento exigirá, al menos, la implantación de las medidas de seguridad de nivel bajo, previstas en el Reglamento de desarrollo de la Ley Orgánica 15/1999.

Dato de discapacidad en la nómina

En relación con el tratamiento del dato de discapacidad dentro de la actividad de asesoramiento fiscal, la AEPD ha analizado la cuestión en diversas ocasiones.
Las entidades  que desarrollen actividades de asesoría fiscal o laboral tendrán la condición de responsables del tratamiento en relación con los datos necesarios para la confección de la declaración del impuesto de sus clientes que tengan la condición de personas físicas, no siendo la misma en ningún caso un mero encargado del tratamiento de aquéllos.
Se entiende que las asesorías recogen los datos de salud del afectado a fin de que éste dé cumplimiento a su obligación de declarar el impuesto sobre la renta de las personas físicas.
Siempre que los datos sean los meramente referidos a la discapacidad del afectado, operará la especialidad prevista en el artículo 81.6 del reglamento: 

Podrán implantarse las medidas de seguridad de nivel básico en los ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos“.

Contribución a los partidos políticos u organizaciones sindicales

Por lo que se refiere al tratamiento de los datos referidos a la contribución del cliente de los colegiados a partidos políticos u organizaciones sindicales, en el caso de una asesoría fiscal o laboral, el tratamiento de los datos personales del contribuyente en este supuesto no se lleva a cabo con la finalidad de efectuar una transferencia dineraria al partido o sindicato, sino con el objeto de especificar la deducción que corresponde como consecuencia de dichas aportaciones.
Siempre que dicha información se conserve en soporte papel sería posible implantar sobre el fichero las medidas de nivel básico, en virtud del artículo 81.5 b) del reglamento establece que “En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual bastará la implantación de las medidas de seguridad de nivel básico cuando (…) se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad”.

Conclusiones
 Afirma la Resolución, como conclusión del Informe, que a los ficheros relacionados con la función de asesoría fiscal de los clientes, se aplicarán  las medidas de seguridad de nivel básico siempre que el tratamiento de los datos de salud se limite al de discapacidad y los datos relacionados con las aportaciones a partidos políticos y sindicatos sean únicamente conservados en soporte no automatizado.
El tratamiento de datos sin consentimiento previo del afectado en aquellos supuestos no exceptuados legalmente, puede ser motivo de infracción grave de acuerdo con lo dispuesto en el artículo 44.3.c) de la Ley Orgánica 15/1999.

jueves, 24 de julio de 2014



El coste que supone incumplir la normativa en materia de protección de datos puede ser muy alto.  La Agencia Española de Protección de Datos (AEPD) ha recaudado ya cerca de 8,2 millones de euros en sanciones económicas. A pesar de que la Ley tiene 15 años de vida en nuestro país, continúa registrando un cumplimiento preocupante por parte de las organizaciones.
Según los datos hasta ahora publicados, el sector más castigado ha sido el de las telecomunicaciones aglutinando alrededor del 42 por ciento del total de los procedimientos sancionadores publicados en este primer semestre sumando así, cerca de 5,7 millones de euros en multas.
Algo más del 90 por ciento de los procedimientos sancionadores relativos a las “telcos” recayeron en tan solo tres empresas: Vodafone (con un 43,8 por ciento  del total), Telefónica (con un 29,4 por ciento) y Orange (con un 17,1 por ciento). La mayor parte de estas sanciones han puesto de manifiesto una vez más la carencia de la seguridad de las compañías de telecomunicaciones que siguen sin demostrar haber adoptado las medidas necesarias para acreditar el consentimiento inequívoco de los usuarios a la hora de formalizar cualquier tipo de contratación.
El segundo sector que más sancionado fue el de los bancos y entidades financieras que alcanzaron un 16,2 por ciento del total de los procedimientos sancionadores publicados en este primer semestre, mientras que el tercero ha sido el de suministro y comercialización de energía, gas y agua alcanzando aproximadamente un 10,2 por ciento del total de las resoluciones publicadas.
Estos son datos que deja entrever una importante concienciación de los derechos de los ciudadanos en materia de protección de datos y una carencia alarmante de medidas de seguridad y control por parte de las empresas a la hora de tratar datos personales. Tenemos que tener en cuenta que esta cantidad pueda ser actualizada y por tanto aumentada por parte de la AEPD, ya que las resoluciones de infracción son publicadas a medida que son resueltas y notificadas a las partes afectadas. 

jueves, 12 de diciembre de 2013



“European Data Protection” bloqueado.


La Unión Europea ha decidido posponer, seguramente hasta después de las elecciones europeas, la aprobación de la nueva directiva en materia de Protección de Datos que sustituiría a la 95/46/CE del parlamento Europeo y del Consejo, de 24 de Octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
El motivo principal ha sido el bloqueo entre los gobiernos ante las divergencias legales sobre la autoridad competente a la hora de resolver las disputas entre ciudadanos y empresas de telecomunicaciones.
Los ministros de Justicia de la UE sí están de acuerdo en la creación de una “ventanilla única” para facilitar las denuncias de ciudadanos y empresas, pero no consiguen ponerse de acuerdo sobre el criterio para la designación de la jurisdicción que conoce cada caso. En estos momentos, si quisiéramos denunciar a Google o Facebook, tendríamos que acudir a los tribunales donde se encuentra su domicilio social, Irlanda, y al mismo tiempo ajustarnos a las leyes californianas.
El Ministro español de Justicia, Alberto Ruiz Gallardón, apuesta por una solución que no obligue a los ciudadanos a acudir a jurisdicciones distintos de su residencia. La vicepresidenta de la Comisión Europea y responsable de justicia Viviane Reding presentó a principios de este año el denominado “European Data Protection”, un interesante proyecto que abarca, además del  problema antes expuesto, la implementación de estrictas medidas tendientes a asegurar la confidencialidad de los datos personales y que supone la actuación en cuatro ámbitos de alto impacto:
- Notificación obligatoria de la brecha de datos: la destrucción o pérdida de datos deberá ser informada a los damnificados y a las autoridades responsables de su protección en un plazo no mayor a 24 horas. Este requisito implica conceptualizar la expresión “brecha de datos” en cuanto a cantidad de información perdida como consecuencia de la destrucción de documentos e implicaciones de este suceso.
- Nombramiento de un responsable de protección de datos en todas aquellas organizaciones que cuenten con más de doscientas cincuenta personas: requiere de capacitación y entrenamiento del personal adecuado, por lo tanto será necesaria la definición de los recursos a asignar para el cumplimiento de esta función.

-Multas del 2% de la facturación total de la empresa, que podrían ascender hasta un millón de euros: en caso de infracciones a la normativa y aplicadas por la autoridad reguladora correspondiente, denotan seriedad y compromiso para con la sociedad.

- Otorgamiento a los particulares del “derecho al olvido”: a pesar de su costosa implementación, sobre todo en las redes sociales, permitiría a los ciudadanos en general y/o usuarios de estas plataformas eliminar por completo información de índole personal, o bien la 
recuperación de datos entregados por algún motivo puntual.
Finaliza el año y ya sabemos tras la Sentencia del Tribunal de la UE, que con respecto al “derecho al olvido” Google ha ganado la batalla, y los ciudadanos de la Unión Europea no pueden oponerse a la publicación de información exacta y completa que pueda ser publicada en una página web, tanto si va a favor o en contra de sus intereses. Si bien es cierto que una autoridad nacional de protección de datos no puede requerir a un proveedor de servicios de motor de búsqueda en Internet que retire información de su índice, habrá que pensar que ha habido un error de planteamiento al querer ir por la Ley de Protección de Datos, pues el derecho al olvido es un problema de protección del  honor.


lunes, 9 de diciembre de 2013

“European Data Protection” bloqueado.



“European Data Protection” bloqueado.


La Unión Europea ha decidido posponer, seguramente hasta después de las elecciones europeas, la aprobación de la nueva directiva en materia de Protección de Datos que sustituiría a la 95/46/CE del parlamento Europeo y del Consejo, de 24 de Octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

El motivo principal ha sido el bloqueo entre los gobiernos ante las divergencias legales sobre la autoridad competente a la hora de resolver las disputas entre ciudadanos y empresas de telecomunicaciones.
Los ministros de Justicia de la UE sí están de acuerdo en la creación de una “ventanilla única” para facilitar las denuncias de ciudadanos y empresas, pero no consiguen ponerse de acuerdo sobre el criterio para la designación de la jurisdicción que conoce cada caso. En estos momentos, si quisiéramos denunciar a Google o Facebook, tendríamos que acudir a los tribunales donde se encuentra su domicilio social, Irlanda, y al mismo tiempo ajustarnos a las leyes canadienses.

El Ministro español de Justicia, Alberto Ruiz Gallardón, apuesta por una solución que no obligue a los ciudadanos a acudir a jurisdicciones distintos de su residencia. La vicepresidenta de la Comisión Europea y responsable de justicia Viviane Reding presentó a principios de este año el denominado “European Data Protection”, un interesante proyecto que abarca, además del  problema antes expuesto, la implementación de estrictas medidas tendientes a asegurar la confidencialidad de los datos personales y que supone la actuación en cuatro ámbitos de alto impacto: 

- Notificación obligatoria de la brecha de datos: la destrucción o pérdida de datos deberá ser informada a los damnificados y a las autoridades responsables de su protección en un plazo no mayor a 24 horas. Este requisito implica conceptualizar la expresión “brecha de datos” en cuanto a cantidad de información perdida como consecuencia de la destrucción de documentos e implicaciones de este suceso.

- Nombramiento de un responsable de protección de datos en todas aquellas organizaciones que cuenten con más de doscientas cincuenta personas: requiere de capacitación y entrenamiento del personal adecuado, por lo tanto será necesaria la definición de los recursos a asignar para el cumplimiento de esta función.

-Multas del 2% de la facturación total de la empresa, que podrían ascender hasta un millón de euros: en caso de infracciones a la normativa y aplicadas por la autoridad reguladora correspondiente, denotan seriedad y compromiso para con la sociedad.

- Otorgamiento a los particulares del “derecho al olvido”: a pesar de su costosa implementación, sobre todo en las redes sociales, permitiría a los ciudadanos en general y/o usuarios de estas plataformas eliminar por completo información de índole personal, o bien la 
recuperación de datos entregados por algún motivo puntual.

Finaliza el año y ya sabemos tras la Sentencia del Tribunal de la UE, que con respecto al “derecho al olvido” Google ha ganado la batalla, y los ciudadanos de la Unión Europea no pueden oponerse a la publicación de información exacta y completa que pueda ser publicada en una página web, tanto si va a favor o en contra de sus intereses. Si bien es cierto que una autoridad nacional de protección de datos no puede requerir a un proveedor de servicios de motor de búsqueda en Internet que retire información de su índice, habrá que pensar que ha habido un error de planteamiento al querer ir por la Ley de Protección de Datos, pues el derecho al olvido es un problema de protección del  honor.

martes, 26 de noviembre de 2013

Menos riesgo, más confianza y más valor añadido.

Sé que estáis hartos de escucharlo: “Si usted no cumple con la LOPD puede llevarse una sanción”. Hoy en día, y con el volumen de datos que manejamos en cualquier actividad empresarial, es absurdo arriesgarse, y a la larga no se reducen costes.
Siempre digo a mis clientes que la implantación de las medidas que marca la Ley Orgánica de Protección de Datos puede convertirse en un valor añadido para su empresa. Al principio ponen cara de pócker…”esto es algo que hay que hacer y puntopelota”. Entonces les explico qué es “valor añadido”, y cómo aportarlo o no puede hacer que un potencial cliente se decante por los productos o servicios de su empresa o de otra.

Parto de la base de que mi cliente conoce perfectamente las necesidades de su sector, conoce los problemas que a sus clientes pueden afectar, pero hay que anticiparse, sumar a su oferta la solución de problemas hipotéticos, contextualizarlos. Busca una solución entonces y ofrecerás un valor añadido, te distinguirás del resto. Quizás piensas que cumplir con la LOPD no aporta más que una política engorrosa para tu actividad. Sin embargo, no debemos olvidar que la legalidad transmite a tus clientes seguridad. Recuerda: la confianza en tu empresa parte de tu compromiso hacia las personas.

miércoles, 23 de octubre de 2013


Adaptación, actualización y soporte en la aplicación de la Ley de Protección de Datos y Ley de Seguridad en la Información y Comercio Electrónico. (L.O.P.D. y LSSICE)

Green House Consultores es una consultoría especializada en el análisis e implantación de la Ley Orgánica de Protección de Datos 15/1999, de 13 de Diciembre.

Green House Consultores instauramos una solución empresarial rentable, fiable y segura que se ajuste a las prioridades de su empresa.

Para ello, contamos con un equipo multidisciplinar formado por técnicos con un profundo conocimiento del sector. Nuestra consultoría integral y personalizada le ofrecerá seguridad y respaldo formativo para el cumplimiento con la L.O.P.D.


Servicio ofertado


El servicio incluye:

1. Análisis de la situación actual de su empresa.

2. Comprobar si tiene ficheros inscritos ante el Registro General de Protección de Datos y si se corresponden con la situación real y actual de la empresa.

3. Comprobar que su empresa recaba, trata y almacena los datos personales cumpliendo con los principios de calidad, deber de información al interesado y obtención del consentimiento, establecidos legalmente.

4. Analizar si existen cesiones de datos en la actualidad y comprobar que su realización es conforme a derecho.

5. Analizar si existen transferencias internacionales de datos en la actualidad y comprobar que su realización es conforme a derecho.

6. Determinar si se firman los debidos contratos con aquellas personas o entidades que tienen acceso a los datos para la prestación de un servicio al responsable del tratamiento (encargados del tratamiento) y si los mismos contienen las estipulaciones contempladas en la legislación.

7. Análisis del Informe de Auditoría previo – si lo hubiese - con el fin de conocer cuáles eran las deficiencias en el momento de su redacción, las medidas correctoras propuestas, si éstas últimas han sido implementadas y las deficiencias corregidas.

8. Revisión de procedimientos, normativas, reglas y estándares de seguridad elaborados e implantados en la organización.

9. Análisis y verificación del cumplimiento de las obligaciones que le corresponden al responsable de seguridad.

10. Revisión y comprobación del cumplimiento de las políticas internas de su empresa incidiendo en las relacionadas con las funciones y obligaciones del personal (deber de secreto, confidencialidad, etc.).

11. Comprobar que las medidas de seguridad implantadas en su empresa tanto a nivel físico como informático para la defensa de la integridad, seguridad y confidencialidad de los datos personales son las adecuadas y se ajustan a lo señalado en el Real Decreto de desarrollo de la Ley Orgánica de Protección de Datos, Real Decreto 1720/2007.

12. Analizar o redactar el Documento de Seguridad y comprobar que cumple con todos los requisitos de contenido mínimo que marca la Ley, atendiendo a nuevas interpretaciones y recomendaciones de la Agencia de Protección de Datos.

13. Redacción el Informe de Auditoría de su empresa relacionando todas las incidencias encontradas y proponiendo las medidas correctoras o complementarias pertinentes. Se incluyen dos auditorías anuales, una interna y otra de cara a la agencia.
Contacte con nosotros para que un consultor haga un breve análisis de lo que su empresa necesita y le haremos llegar lo antes posible un presupuesto ajustado a sus necesidades.

www.greenhouseconsultores.com                        www.proteccion-de-datos-murcia.es