Creación de aplicaciones y plataformas que preservan la privacidad

Las aplicaciones y plataformas digitales se han convertido en una característica esencial para las organizaciones, más aún desde el inicio de la pandemia Covid-19 y las posteriores restricciones impuestas al público.

Las organizaciones se están moviendo rápidamente hacia la construcción de plataformas digitales de próxima generación para impulsar las ventas y los servicios digitales, y estas plataformas están respaldando todas las áreas: ventas, marketing, adquisición y servicio de clientes, entrega de productos, así como una variedad de funciones internas.

A medida que más servicios se vuelven digitales, la privacidad de los datos se ha convertido en un aspecto importante para las organizaciones, no solo para mantener la confianza de los clientes y empleados, sino también para garantizar que cumplan con diversas leyes locales e internacionales.

Comprendamos la arquitectura de la plataforma digital y cómo deben integrarse las prácticas de privacidad. Una plataforma digital se compone de las siguientes capas:

  • Puerta de enlace empresarial para conectarse a Internet y autenticar usuarios.
  • Capa de presentación para presentar las aplicaciones a los usuarios.
  • Capa de integración para canalizar las llamadas de servicio.
  • Capa de aplicación para ofrecer aplicaciones y servicios empresariales.
  • Capa de datos para registrar y recuperar transacciones y elementos de datos maestros.

Dada la complejidad de la arquitectura y las múltiples trayectorias de datos que se alojan en cualquier plataforma digital moderna, preservar la privacidad y la seguridad de los datos durante todo el ciclo de vida de los datos (adquisición de datos, almacenamiento de datos, manipulación de datos, procesamiento de datos, transferencia de datos y eliminación de datos) se convierte en un tarea compleja.

Por lo tanto, se necesita experiencia interfuncional de profesionales de riesgos de privacidad, seguridad de la información, arquitectura, digital, datos y tecnología para evaluar la efectividad de los controles de privacidad mientras se diseñan estos sistemas. Además, debe haber documentación sobre qué datos se recopilan a través de plataformas digitales, por qué se necesitan y cómo se tratarán y conservarán en la organización.

Más contenido para leer:  El Ministerio de Defensa del Reino Unido recurre a los piratas informáticos para ayudar a proteger los activos digitales

El concepto de privacidad por diseño es necesario para garantizar que las prácticas de privacidad se construyan desde la fase de conceptualización y se lleven a cabo durante todo el ciclo de vida del desarrollo y las operaciones de aplicaciones digitales. De ISACA Privacidad en la práctica 2021 El informe proporciona buenas perspectivas sobre cómo se deben construir los conceptos de privacidad desde el inicio de los compromisos y qué tipos de habilidades se necesitan para desarrollar dicha práctica.

Por ejemplo, uno de los hallazgos de la encuesta fue que “las empresas que utilizan constantemente la privacidad por diseño tienen casi dos veces y media más probabilidades de confiar completamente en la capacidad de su equipo de privacidad para garantizar la privacidad de los datos y lograr el cumplimiento de la nueva privacidad leyes y regulaciones”.

Al evaluar los controles de privacidad en torno al diseño y desarrollo de plataformas digitales, los profesionales del riesgo deben evaluar las siguientes áreas (no una lista exhaustiva):

  • ¿Qué elementos de datos se capturan a través de la plataforma digital? Por ejemplo, información de identificación personal (PII) del cliente o empleado, datos biométricos, de comportamiento o financieros.
  • ¿Podemos minimizar los elementos de datos que se solicitan a través de las aplicaciones digitales a menos que sea necesario?
  • ¿Las aplicaciones recopilan identificadores únicos del dispositivo a menos que sean necesarios para el funcionamiento de la aplicación?
  • ¿Hay intercambio de datos o enlaces profundos entre diferentes aplicaciones?
  • Garantizar que no se almacenen datos de PII en los registros de la aplicación a menos que sea necesario y crear controles para la eliminación oportuna de los mismos.
  • ¿Qué controles se crean para acceder a información confidencial almacenada en la biblioteca digital?
  • ¿Se utilizarán los datos de los clientes con fines de capacitación del sistema o se utilizarán capacidades de inteligencia artificial (IA) o aprendizaje automático (ML)?
  • ¿Se realizarán pruebas de aplicaciones en datos sintéticos para garantizar la privacidad del cliente?
  • ¿Cómo se capturaría el consentimiento del cliente / empleado y el lenguaje de consentimiento les informa sobre el posible uso de sus datos?
  • ¿Qué controles están diseñados para garantizar la eliminación de datos al llegar al final de su período de retención o retirar el consentimiento del cliente?
  • ¿Qué controles de seguimiento y registro están integrados para garantizar la identificación y el informe oportunos de las violaciones de la privacidad?
  • ¿Tenemos un lenguaje contractual de terceros que exija requisitos de privacidad siempre que los datos se expongan externamente?
Más contenido para leer:  Apple presenta la línea de productos iPhone 13

Si bien los controles anteriores son ilustrativos, se necesita una evaluación detallada en la fase de diseño del sistema o siempre que se planeen más expansiones o cambios en torno a las aplicaciones digitales. Además de las fases de diseño y desarrollo, los controles de privacidad deben ejercerse en toda la arquitectura central y la funcionalidad de la plataforma para que se arraigue en profundidad durante el funcionamiento de estas plataformas móviles.

Dado que vivimos en la era digital, la privacidad se ha convertido en un pilar importante para la construcción de plataformas digitales seguras y no existe un enfoque único para todos. Para hacerlo bien la primera vez, las organizaciones deben tener en cuenta todos los componentes clave: tener políticas y controles de privacidad bien definidos, inclusión de profesionales calificados en privacidad y riesgos, capacitación y concienciación para los equipos del proyecto, construir un lenguaje de privacidad en los contratos de terceros. y tener un proceso de gestión de incidentes sólido para manejar cualquier posible violación de la privacidad.

Como dicen, la privacidad es un viaje, no un destino. Las organizaciones han comenzado su viaje para incorporar la privacidad en sus ofertas digitales.


Gaurav Deep Singh Johar, CISA, CISM, CRISC, CDPSE, es miembro del Grupo de Trabajo de Tendencias Emergentes de ISACA. Actualmente con sede en Toronto, Canadá, trabaja como oficial de riesgos de tecnología digital en una gran organización de servicios financieros.

Nuestro objetivo fué el mismo desde 2004, unir personas y ayudarlas en sus acciones online, siempre gratis, eficiente y sobre todo fácil!

¿Donde estamos?

Mendoza, Argentina

Nuestras Redes Sociales