¿Que cambios hemos hecho por el RGPD?

Con esta nueva actualización del Reglamento de Protección de Datos, hemos tenido que acometer una serie de cambios, además de adaptar los textos legales… No vale con adaptar solamente los textos.

• Hemos dejado de publicar información en el whois. Ahora, todos los datos relativos a personas físicas, como el nombre y apellidos, dirección, teléfono y correo electrónico, no serán mostrados. En su lugar se mostrará «GDPR Masked». Si se mostrarán algunos como el de Organización o Compañía. Como comentábamos en una entrada anterior, esto ha provocado adaptar el sistema de transferencia de dominios entre registradores. En nuestro caso: al no poder obtener la dirección de correo para notificar al anterior titular del dominio, si el código EPP o de autorización para el traslado es correcto y el dominio está desbloqueado, continuaremos el proceso. El registrador que pierde el dominio deberá mandar el correo al titular indicando que se ha solicitado el traslado a otro registrador, para permitir detener el proceso si así se desea.
• Hemos añadido una nueva opción que permitirá descargar toda la información que mantenemos en el panel en un formato de fichero estructurado, en nuestro caso csv.
• Hemos modificado nuestros términos de uso y textos legales para adaptarlos y generado un documento, en formato pdf y firmado digitalmente, para que los clientes que así lo deseen puedan descargar la normativa de protección de datos. No nos mandéis contratos para que los firmemos: descargad el documento.
• Se ha añadido un botón para causar baja/borrado de toda la información que conservemos, salvo registros históricos que debamos mantener por posibles cuestiones legales.
• Hemos reforzado la seguridad en servicios como DNS, permitiendo activar DNSSEC, lo que evita el posible secuestro de tu zona validando que el sitio por el que se pregunta es el correcto.
• Se han certificado en RIPE con PKI todos los prefijos de red que anunciamos, nuestras direcciones IP, de forma que evitamos también la posibilidad de secuestro de tráfico certificando y validando el origen de los mismos en nuestro ASN (sistema autónomo). Son muchos los casos.
• Hemos mejorado el sistema de registro de sucesos, para conocer exactamente el estado de las copias de seguridad que hacemos y poder proporcionar las evidencias, en caso de auditoría, de todos aquellos servicios que disponen de este mecanismo. Debéis asegurar que vuestro servicio tiene incluida la copia de seguridad, o realizar por vuestra cuenta las copias necesarias para poder restituir lo antes posible la información. Por nuestra parte, todo servicio gestionado dispone de esta salvaguarda. En los casos en los que el cliente dispone de acceso administrador no realizamos copia, salvo que se contrate expresamente. Si tienes dudas, pregunta.
• Almacenamos todos los eventos y acciones que se realizan en nuestros sistemas, bien sea por el panel de gestión de servicios o mediante API. Información como fecha y hora, usuario, dirección IP, navegador y la acción que se ha realizado.

Os recordamos que, como procesadores o encargados del tratamiento, debéis recabar el consentimiento de vuestros clientes e informarles, si lo preguntan, a quién o qué empresas estáis cediendo sus datos. En el caso de los servicios de alojamiento, los datos se encuentran en nuestros servidores ubicados en España, en Madrid. No subcontratamos, por lo que los datos no son cedidos a otra empresa. Queremos insistir en que, como encargados o procesadores, en el caso de los dominios la información cedida está muy acotada; pero en el caso del hosting, debéis de indicarnos la naturaleza o categoría de los datos que alojáis con nosotros. Igualmente, en servicios de housing o alojamiento de equipos con nosotros, en el caso de tener que aplicar alguna medida de seguridad especial, podamos asesoraros y verificar que el servicio contratado cumple con las obligaciones legales.

En aquellos servicios de alojamiento de equipos (housing), existen medidas de seguridad físicas. Solamente nuestro personal autorizado tiene acceso físico a los equipos, y disponemos de sistemas como cámaras de seguridad y lectores de acceso que nos permiten asegurar y trazar quién y cuándo accede físicamente a los equipos alojados en los bastidores del centro de datos.

En cuestión de dominios, dependiendo del TLD, los datos serán cedidos también al Registro encargado como Red.es, Verisign, Eurid, Afilias, Public Registry… Para los que estamos acreditados con número IANA 1600. Además, como registradores estamos obligados a realizar una copia semanal de los datos de contacto asociados a los dominios (data escrow), y volcar de forma cifrada a un proveedor homologado por ICANN. La ICANN proporciona un servicio gratuito con IRON MOUNTAIN en los Estados Unidos, pero el año pasado, en previsión de la entrada del RGPD, contratamos a una empresa ubicada en Europa homologada por ICANN para este volcado de información.

De cualquier forma, estaremos a vuestra entera disposición para aclarar cualquier duda o valorar mejoras y seguir vuestras indicaciones desarrollando nuevas funcionalidades que os ayuden a cumplir con vuestras y nuestras responsabilidades legales.