Nota del Editor: Dado el reciente aumento del trabajo a distancia impulsado por el brote de la enfermedad coronavirus 2019 (COVID-19), muchos profesionales del derecho ahora están integrando herramientas en su flujo de trabajo de comunicaciones empresariales que pueden nunca haber usado antes o nunca haber usado en entornos que requieren la la defensa jurídica de las comunicaciones. Una de estas herramientas es la plataforma de teleconferencia Zoom. A continuación se proporciona una serie de extractos de notas informativas, artículos y demandas que pueden ser beneficiosos para ser considerados por los profesionales y proveedores de datos y descubrimiento legal a medida que evalúan el uso de Zoom en apoyo de la conducta de eDiscovery.
Nota informativa completa de la Comisión de Protección de Datos (DPC) Irlanda
Consejo de protección de datos para videoconferencias
A la luz del reciente aumento del trabajo a distancia, requerido por las medidas de mitigación del COVID-19, así como del aumento del número de personas que se mantienen en contacto en línea con amigos y familiares, el número de personas que realizan videoconferencias y videollamadas ha aumentado drásticamente. Esto también ha dado lugar a que las personas usen aplicaciones y servicios que podrían no haber utilizado antes, o que ahora estén utilizando por diferentes razones, es decir, usando una aplicación que normalmente usan para fines personales ahora con fines laborales o viceversa.
Se han planteado preocupaciones acerca de cómo utilizar estas tecnologías para mantenerse en contacto con colegas y seres queridos de una manera que sea segura y segura, y garantice un nivel adecuado de protección de datos.
Estos son algunos consejos para ayudar tanto a las personas como a las organizaciones (como los empleadores que podrían introducir nuevos o mayores arreglos de videoconferencia para los empleados) a utilizar estos servicios de manera segura.
Consejos para particulares
Asegúrese de que el dispositivo que utiliza para videollamadas tenga las actualizaciones necesarias, como las actualizaciones del sistema operativo (como iOS o Android) y las actualizaciones de software/antivirus (y asegúrese de que tiene antivirus o software de seguridad en línea en primer lugar).
Trate de utilizar servicios en los que usted conoce y confía, ha hecho alguna investigación, y/o ha sido investigado y sugerido por su empleador, etc., para videoconferencias o videollamadas.
Tómese un tiempo para leer la política de privacidad o protección de datos del servicio para asegurarse con quién se comparten sus datos personales, dónde se almacenarán o procesarán y para qué fines se utilizarán, entre otras informaciones.
Piense dos veces en qué permisos para datos o sensores se le están pidiendo: ¿Realmente necesita compartir su ubicación o su lista de contactos, por ejemplo? ¿Para qué se utilizarán esos datos?
Si la protección de datos o la información de privacidad es inadecuada o se busca demasiada información o acceso a su dispositivo, debe tener cuidado de compartir datos personales con este servicio, y es posible que desee tomar medidas adicionales o considerar otro servicio.
Asegúrate de que el dispositivo se utiliza en un lugar seguro, por ejemplo, vigila lo que (o quién) se puede ver desde la cámara, y asegúrate de cerrar la sesión, silenciar o apagar el vídeo, según corresponda, cuando salgas o tomes un descanso.
Tenga en cuenta los derechos de protección de datos y privacidad de otras personas antes de publicar o compartir una imagen o vídeo de una videollamada que contenga su imagen, voz y/o datos de contacto.
Lea nuestros consejos generales sobre cómo mantenerse seguro en línea durante una pandemia
Consejos para organizaciones
Los empleados deben estar utilizando sus proveedores de servicios contratados para comunicaciones relacionadas con el trabajo. Asegúrese de que está satisfecho con las características de privacidad y seguridad de los servicios que usted les pide que utilicen. No se debe alentar el uso ad-hoc de aplicaciones o servicios por parte de particulares.
Trate de asegurarse de que los empleados utilizan cuentas de trabajo, direcciones de correo electrónico, números de teléfono, etc., siempre que sea posible, para las videoconferencias relacionadas con el trabajo, para evitar la recopilación innecesaria de sus contactos personales o datos de las redes sociales.
Asegúrese de que se proporcionan políticas y directrices organizativas claras, comprensibles y actualizadas a quienes usan videoconferencias, para que sepan qué reglas deben seguir y qué pasos deben tomar para minimizar los riesgos de protección de datos. Esto debe incluir información sobre los controles que ofrecen los servicios y que están a su disposición para proteger su seguridad, datos y comunicaciones.
Implemente, y/o aconseje a los empleados que implementen, controles de seguridad apropiados, como controles de acceso (como autenticación multifactor y contraseñas únicas seguras) y limite el uso y el uso compartido de datos a lo necesario.
En los casos en que los servicios de videoconferencia deban utilizarse por razones organizativas, debe tener una política coherente con respecto a qué servicios se utilizan y cómo, y ofrecerse a través de VPN o acceso remoto a la red siempre que sea posible.
Evite compartir datos de la empresa, ubicaciones de documentos o hipervínculos en cualquier instalación de 'chat' compartida que pueda ser pública, ya que estos pueden ser procesados por el servicio o dispositivo de manera no segura.
Lea nuestras directrices sobre la protección de datos personales cuando se trabaja de forma remota y nuestras directrices sobre seguridad de datos y asegúrese de que los puntos contenidos en ellos se aclaren a los empleados.
Lea la nota informativa original en Data Protection Tip for Video Conferencing
Nota informativa completa de la Comisión de Protección de Datos (DPC) Irlanda
Protección de datos personales cuando se trabaja de forma remota
Dispositivos
Tenga especial cuidado de que los dispositivos, como USB, teléfonos, computadoras portátiles o tabletas, no se pierdan ni se pierdan.
Asegúrese de que cualquier dispositivo tenga las actualizaciones necesarias, como las actualizaciones del sistema operativo (como iOS o Android) y las actualizaciones de software/antivirus.
Asegúrese de que su ordenador, portátil o dispositivo se utilice en un lugar seguro, por ejemplo, donde pueda vigilarlo y minimizar quién más puede ver la pantalla, especialmente si trabaja con datos personales confidenciales.
Bloquea tu dispositivo si tienes que dejarlo desatendido por cualquier motivo.
Asegúrate de que los dispositivos estén apagados, bloqueados o almacenados cuidadosamente cuando no estén en uso.
Utilice controles de acceso efectivos (como autenticación multifactor y contraseñas seguras) y, cuando esté disponible, cifrado para restringir el acceso al dispositivo y reducir el riesgo de robo o extravío de un dispositivo.
Cuando un dispositivo se pierde o se roba, debe tomar medidas inmediatamente para asegurarse de que se borre la memoria a distancia, siempre que sea posible.
Correos electrónicos
Siga las políticas aplicables en su organización en relación con el uso del correo electrónico.
Utilice las cuentas de correo electrónico del trabajo en lugar de las personales para los correos electrónicos relacionados con el trabajo que implican datos personales. Si tiene que utilizar el correo electrónico personal, asegúrese de que el contenido y los archivos adjuntos estén cifrados y evite el uso de datos personales o confidenciales en las líneas de asunto.
Antes de enviar un correo electrónico, asegúrese de enviarlo al destinatario correcto, especialmente para los correos electrónicos que contengan grandes cantidades de datos personales o datos personales confidenciales.
Acceso a la nube y a la red
Siempre que sea posible, utilice únicamente las redes de confianza o los servicios en la nube de su organización y cumpla con las reglas y procedimientos organizativos sobre el acceso a la nube o a la red, el inicio de sesión y el uso compartido de datos.
Si trabaja sin acceso a la nube o a la red, asegúrese de que los datos almacenados localmente tengan una copia de seguridad adecuada y segura.
Registros en papel
Es importante recordar que la protección de datos se aplica no solo a los datos almacenados o procesados electrónicamente, sino también a los datos personales en forma manual (como los registros en papel) donde forman o están destinados a formar parte de un sistema de archivo.
Cuando trabaje de forma remota con registros en papel, tome medidas para garantizar la seguridad y confidencialidad de estos registros, por ejemplo manteniéndolos encerrados en un archivador o cajón cuando no estén en uso, desechándolos de forma segura (por ejemplo, triturándolos) cuando ya no sean necesarios y asegurándose de que no se queden en algún lugar. donde podrían ser extraviados o robados.
Si está tratando con registros que contienen categorías especiales de datos personales (por ejemplo, datos de salud), debe tener especial cuidado para garantizar su seguridad y confidencialidad, y solo eliminar dichos registros de un lugar seguro donde sea estrictamente necesario para llevar a cabo su trabajo.
Siempre que sea posible, debe mantener un registro escrito de los registros y archivos que se han llevado a casa, a fin de mantener buenas prácticas de acceso a los datos y gobernanza.
Lea la nota informativa original en Protección de datos personales cuando se trabaja de forma remota
Un extracto de un artículo de Nick Statt a través de The Verge
Google prohíbe a sus empleados usar Zo0m por problemas de seguridad
Google está prohibiando el uso de la plataforma de teleconferencias Zoom para los empleados. La compañía está citando preocupaciones de seguridad con la aplicación que han surgido desde que Zoom se convirtió en uno de los servicios más populares para el videochat gratuito durante la pandemia del COVID-19. La noticia fue reportada por primera vez por BuzzFeed News hoy [8 de abril de 2020].
Google envió por correo electrónico a los empleados la semana pasada sobre la prohibición, diciéndoles a los trabajadores que tenían instalada la aplicación Zoom en sus máquinas proporcionadas por Google que el software pronto no funcionaría. Vale la pena señalar que Google ofrece su propio competidor de Zoom empresarial llamado Meet como parte de su oferta de G Suite.
Otros problemas han incluido grabaciones de Zoom expuestas, intercambio de datos no divulgados con Facebook, perfiles de LinkedIn expuestos y un instalador «similar al malware» para macOS. La compañía se enfrenta ahora a una completa reacción de privacidad y seguridad. Zoom ha respondido compitiendo para tapar agujeros y reforzar sus protecciones empresariales y de consumidores para evitar la dura competencia de Microsoft Teams y Skype, las aplicaciones G Suite de Google y otros proveedores de teleconferencias más tradicionales. Zoom dijo a principios de este mes que pausaría nuevas características durante 90 días para centrarse en la privacidad y la seguridad.
Lea el artículo completo en Google prohíbe a sus empleados usar Zo0m sobre cuestiones de seguridad
Un extracto de un artículo de Matthew Finnegan vía Computerworld
Zoom golpeado por la demanda del inversor a medida que aumenta la seguridad y la privacidad
Los desafíos a los que se enfrenta Zoom siguen aumentando, ya que la empresa enfrenta ahora una demanda de inversores y más organizaciones prohíben el uso de la aplicación de videoconferencia debido a preocupaciones de privacidad y seguridad. La compañía también intensificó sus esfuerzos para mejorar sus prácticas de seguridad y privacidad contratando a la antigua CSO de Facebook como consultor.
Zoom ha visto un aumento en el uso en las últimas semanas a medida que el autoaislamiento en respuesta a la pandemia aumenta la demanda de software de vídeo. A medida que su popularidad ha crecido —tanto para uso empresarial como personal— y el precio de las acciones de la compañía se ha disparado, Zoom ha estado bajo presión en varios frentes.
El martes [7 de abril de 2020], el accionista Michael Drieu presentó una demanda ante un tribunal federal de California, alegando que Zoom «exageró significativamente» el grado en que su plataforma está encriptada, sin revelar estas «deficiencias» a los accionistas.
Zoom admitió el 1 de abril a una «discrepancia» en su definición de cifrado de extremo a extremo de la definición comúnmente aceptada. Drieu afirma que él y otros accionistas han sufrido «pérdidas y daños significativos» debido a una caída en el precio de las acciones de Zoom después de la admisión.
Lea el artículo completo en Zoom Hit By Investor Lawsuit As Security, Privacy Preocupaciones Mount
Extracto de una demanda colectiva presentada contra Zoom Video Communications
Cullen v. Zoom Video Communications, Inc.
Tribunal de Distrito de Estados Unidos para el Distrito Norte de California, 30 de marzo de 2020
Zoom, sin embargo, no ha podido salvaguardar adecuadamente la información personal de los millones cada vez mayores de usuarios de su aplicación de software («Zoom App») y plataforma de videoconferencia. Al instalar o en cada apertura de la aplicación Zoom, Zoom recopila la información personal de sus usuarios y divulga, sin previo aviso o autorización adecuada, esta información personal a terceros, incluyendo Facebook, Inc. («Facebook»), invadiendo la privacidad de millones de usuarios.
Caso 5:20 -cv-02155 Documento 1 Archivado 03/30/20 (PDF)
Zoom-Complaint-Case 5-20-cv-02155 Documento 1 Archivado 033020
Extracto de una demanda colectiva presentada contra Zoom Video Communications
Drieu v Zoom Video Communications, Inc. et al.
Tribunal de Distrito de Estados Unidos para el Distrito Norte de California, 7 de abril de 2020
La verdad sobre las deficiencias en el cifrado de software de Zoom comenzó a salir a la luz ya en julio de 2019. Sin embargo, debido en gran parte a la ofuscación de la Compañía, no fue hasta la pandemia del COVID-19 en marzo y abril de 2020, con empresas y otras organizaciones que recurren cada vez más al software de comunicación de vídeo de Zoom para facilitar la actividad de trabajo a distancia a medida que los gobiernos implementaron cada vez más refugio en colocar órdenes, que la verdad se puso más al descubierto en una serie de revelaciones correctivas. Como quedó claro a través de una serie de noticias y admisiones de la Compañía que Zoom había exagerado significativamente el grado en que su software de videocomunicación estaba encriptado, y las organizaciones en consecuencia prohibieron a sus empleados utilizar Zoom para actividades laborales, el precio de las acciones de la Compañía se desplomó, dañando a los inversores.
Caso 5:20 -cv-02353 Documento 1 Archivado 04/07/20 (PDF)
Zoom-Complaint-Case 3-20-cv-02353 Documento 1 Archivado 040720
Un extracto de un artículo de Oded Gal a través del blog Zoom
Los hechos en torno a las reuniones de zoom y cifrado y seminarios web
A la luz del interés reciente en nuestras prácticas de cifrado, queremos empezar por disculparnos por la confusión que hemos causado al sugerir incorrectamente que las reuniones de Zoom eran capaces de usar cifrado de extremo a extremo. Zoom siempre se ha esforzado por utilizar el cifrado para proteger el contenido en tantos escenarios como sea posible, y en ese espíritu, utilizamos el término cifrado de extremo a extremo. Aunque nunca pretendimos engañar a ninguno de nuestros clientes, reconocemos que existe una discrepancia entre la definición comúnmente aceptada de cifrado de extremo a extremo y cómo lo estábamos usando. Este blog pretende rectificar esa discrepancia y aclarar exactamente cómo ciframos el contenido que se mueve a través de nuestra red.
El objetivo de nuestro diseño de cifrado es proporcionar la máxima privacidad posible, al tiempo que se apoyan las diversas necesidades de nuestra base de clientes.
Para ser claros, en una reunión en la que todos los participantes están utilizando clientes de Zoom, y la reunión no se está grabando, ciframos todo el contenido de vídeo, audio, pantalla compartida y chat en el cliente remitente, y no lo desciframos en ningún momento antes de que llegue a los clientes receptores.
Lea el artículo completo en The Facts Around Zoom and Encryption Meetings/Webinars
Extracto de un artículo de Maria Crimi Speth de Jaburg Wilk
¿Qué tan privado es Zoom Videoconferencia?
Muchos de nosotros nos encontramos asistiendo a reuniones por videoconferencia, como Zoom. Incluso podría estar teniendo interacciones confidenciales con sus clientes, proveedores médicos o proveedores legales. Si te preguntas qué tan seguras son esas interacciones, analizamos las políticas de seguridad, legales y privacidad de Zoom (que se actualizaron el 18 de marzo de 2020) para ayudarte a mantenerte informado sin tener que leer toda la letra pequeña.
Lea el artículo completo en How Private is Zoom® Videoconferencia?
Un extracto de la Política de Privacidad de Zoom por Aparna Bawa a través de Zoom
Política de privacidad de Zoom
En Zoom, garantizar la privacidad y seguridad de nuestros usuarios y sus datos es nuestra máxima prioridad. Queremos abordar las preocupaciones recientes sobre la política de privacidad de Zoom.
Queremos destacar que:
Zoom no vende los datos de nuestros usuarios.
Zoom nunca ha vendido datos de usuario en el pasado y no tiene intención de vender datos de los usuarios en el futuro.
Zoom no supervisa sus reuniones ni su contenido.
Zoom cumple con todas las leyes, normas y regulaciones de privacidad aplicables en las jurisdicciones dentro de las cuales opera, incluyendo el RGPD y la CCPA.
No estamos cambiando ninguna de nuestras prácticas. Estamos actualizando nuestra política de privacidad [29 de marzo de 2020] para que sea más clara, explícita y transparente.
Lea el artículo completo en la Política de privacidad de Zoom
Lectura adicional
¿La carrera a la línea de salida? Anuncios recientes de revisión remota segura
Ciberactores y delincuentes: dos actualizaciones de ciberseguridad del FBI
Fuente: ComplexDiscovery
