La nueva ley de ciberseguridad China entra en vigor el 1 de junio

Posted by Reading Time: 6 minutes

Por Zolzaya Erdenebileg
Editores Lorena Miera Ruiz y Oscar A. Mussons

A pesar de que la nueva Ley de ciberseguridad china va a entrar en vigor el 1 de junio, muchas empresas aún no tienen claro los pormenores de la ley. Dado los potenciales altos costes por no cumplir con la ley que implica está nueva legislación, así como la incierta naturaleza de las directrices que el Gobierno publicará, los gerentes deberían revisar el borrador de las medidas y hacer un seguimiento de las próximas novedades para asegurar que sus negocios están preparados.

Ley de ciberseguridad china

Promulgada el 7 de noviembre de 2016, por la Comisión permanente del Congreso Nacional de la RPC (o NPC por sus siglas en inglés), la Ley de ciberseguridad aumenta la jurisdicción nacional del gobierno en los asuntos concernientes a la ciberseguridad.

La ley dispone sobre todo a lo que se refiere como “Infraestructura crítica de la información” (ICI), que se define como las industrias clave que mantienen información que, en caso de dañarse o perderse, podría poner en riesgo la seguridad nacional o los intereses públicos. Se han identificado como pertenecientes al ICI las empresas en los siguientes sectores: energético, financiero, transporte, telecomunicaciones, salud y bienestar, eléctrico, agua, gas y seguridad social.

Según Michael Mudd de Asian Policy Partners, “La Ley prohíbe a estas industrias clave el uso de productos y servicios de la red que no hayan pasado los controles de seguridad. Además, los productos y servicios de la red adquiridos por operadores ICI, en el caso que puedan afectar a la seguridad nacional, deben pasar un control de seguridad de la red”. Mudd ha añadido que, “los departamentos encargados de proteger la seguridad de los ICI determinarán si la compra de productos o servicios de la red de los operadores ICI afecta o no a la seguridad nacional.”

En general, la Ley de ciberseguridad subraya la protección de la información así como la frase acuñada por China, “soberanía del ciberespacio.” La soberanía del ciberespacio se basa en la presunción de que cada país puede gobernar sobre su entorno de Internet.

Borrador de las medidas en las revisiones de seguridad

El 4 de febrero de 2017, la Administración del Ciberespacio China (ACC), emitió un borrador de legislación, Medidas para la revisión de seguridad de productos y servicios de la red (o el Borrador de las medidas),  que ofrece una visión de cómo las autoridades llevarán a cabo las revisiones de seguridad estipuladas en la Ley de ciberseguridad. Se concedió un mes para la revisión pública del Borrador de las medidas que llegó a su fin el 4 de marzo de este 2017, pero los resultados de la misma no se han publicado todavía.

Según el Borrador de las medidas, los productos y servicios relevantes tendrán que someterse a una evaluación centrada en si son “seguros y controlables,” un concepto ya aplicado en la industria bancaria y de las telecomunicaciones, pero sin una interpretación clara para otros sectores. Dicho proceso incluiría una evaluación de riesgos cubriendo los siguientes puntos:

  • Riesgo de que el producto o servicio se pueda controlar, alterar o suspender de manera ilegal;
  • Riesgo en el desarrollo, entrega o servicio técnico del producto o servicios;
  • Riesgo de que el proveedor del producto o servicio pueda recopilar, guardar, procesar o usar la información personal de los usuarios;
  • Riesgo de que el proveedor del producto o servicio participe en competencias desleales y comprometa los intereses de los usuarios debido a su uso del producto o servicio; y
  • Cualquier otro riesgo que ponga en peligro la seguridad nacional o los intereses públicos.

La evaluación de seguridad podrá iniciarse a petición de una agencia del Gobierno, una asociación de comercio, debido a un incidente en el mercado o por medio de una solicitud voluntaria de una empresa. La ACC establecerá una comisión responsable  de llevar a cabo las revisiones de seguridad, que junto con instituciones independientes llevará a cabo las evaluaciones.

Professional Service_CB icons_2015Servicios profesionales de Dezan Shira & Associates

Las evaluaciones de seguridad incluirán, comprobaciones del historial, test de laboratorio, inspecciones in situ y seguimiento online. Sin embargo, el Borrador de las medidas no especifica el tipo de información que la Comisión o terceras partes pedirán, ni tampoco menciona un proceso de apelación en caso de que el producto o servicio sea denegado.

Según Thomas Zhang, Director de IT en Dezan Shira and Associates, las evaluaciones de seguridad probablemente se llevaran a cabo en empresas más bien grandes (como Alibaba o Tencent), ya que sus infraestructuras de IT recopilan información personal y su uso está muy extendido.

Requisitos de localización de la información

Además de las comprobaciones de seguridad, otra de las controvertidas medidas que las firmas extranjeras han identificado dentro del marco de la nueva Ley de ciberseguridad son los requisitos sobre localización de la información. Conforme al artículo 37, toda información personal así como cualquier otra información clave que sea producida o recopilada por las empresas ICI, tienen que guardarse en servidores que estén hospedados en China continental. Si es necesario transferir información fuera de China continental, las firmas tienen, primero, que pedir permiso al Gobierno y pasar por una evaluación de seguridad.

Las penalizaciones por no cumplir con esta medida, pasan por una advertencia como mínimo, o un posible cierre de la página web, revocación de permisos, y multas que se encuentran entre los RMB 50,000 y los RMB 500,000 (entre unos US$7,250 y US$72,500) para empresas o de RMB 10,000 a RMB 100,000 (entre unos US$1,450 y US$14,500) en caso de individuos.

Sin embargo, Zhang comenta que el requisito sobre la localización de la información no tiene por qué implicar necesariamente un gran riesgo. “Creo que una de las mayores preocupaciones es que el Gobierno puede obtener información en ciertas situaciones si se guarda en China. No obstante, hoy en día, al Gobierno le resulta difícil obtener dicha información, ya que cada vez más empresas utilizan los servicios basados en la nube, en estos servicios ni tan siquiera el operador de la plataforma en la nube puede localizar la información dentro de su propio sistema” comenta Zhang.

Además, aunque el requisito de localización de la información tiene la intención de aumentar la seguridad de la información, no la garantiza necesariamente. Mudd recomienda seguir los estándares internacionales en su lugar, como por ejemplo ISO 27001, 27002, 27017 y 27018, así como ISO 38500, además de incluir sistemas de gestión de IT para cualquier organización.

Desde un punto de vista internacional, Mudd afirma que “la compatibilidad con los sistemas de Regulación corporativa vinculante (BCR por sus siglas en inglés) y los contratos modelo de la Unión Europea o la Regulación de privacidad internacional (CBPR por sus siglas en inglés) del Foro de Cooperación Económica Asia-Pacífico (o APEC), en el que China participa, y que proporcionará claridad comercial en este apartado de la Ley.”

Requisitos para operados de red

Conforme con esta Ley, las empresas tienen que tener ahora estructuras y protocolos para mejor proteger su información y la de los usuarios. En especial, tienen que un sistema de protección de red escalonado, el cual Zhang describe como “una única estructura o arquitectura del sistema de seguridad, que debe incluir diferentes factores o elementos para formar un único sistema de seguridad para proteger la información.”

Además, las empresas de redes tienen que tener los siguientes procedimientos:

  • Sistema interno de gestión de seguridad y reglamentos operativos;
  • Persona(s) responsable de la seguridad de la red e implementación;
  • Medidas técnicas para prevenir virus informáticos, ataques a la red, etc.;
  • Medidas técnicas para controlar y mantener un registro de la situaciones operativas de la red y un historial de seguridad de la red, así como guardar registros de entradas por lo menos durante seis meses;
  • Adoptar medidas de seguridad como la clasificación de información, copia de seguridad de la información y encriptación; y
  • Otros requisitos que estipule la Ley u otros organismos administrativos.

Para asegurar una mayor preparación para cumplir con estos requisitos, Zhang recomienda tres pasos básicos:

  • Contar con un hardware y software básicos para fines de seguridad como un firewall o un sistema de detección de intrusiones;
  • Políticas y procedimientos de seguridad que defina los objetivos de seguridad y métodos predefinidos de implementación de las medidas; y
  • Personal de seguridad capaz que pueda seguir los procedimientos relacionados con las tareas de control de riesgos.

“La empresa puede comparar sus prácticas, equipos y procedimientos con un determinado estándar para su revisión interna. También puede acudir a un IT externo para llevar a cabo una auditoría,” añade Zhang.

Revisión y evaluación de la infraestructura de IT actual

La nueva Ley de ciberseguridad supone un importante desarrollo, que muestra cómo China va a seguir trabajando en temas de seguridad de la información y avanzando en su ciber soberanía. Además, tiene consecuencias significativas para las empresas que operan en China, e introduce nuevos requisitos que las empresas no sólo tienen que seguir sino de los que también tienen que ser conscientes y mantenerse al corriente para cuando el Gobierno publique más detalles.

Para prepararse lo mejor posible para el 1 de junio, los empresarios o personas a cargo deberían revisar y evaluar la infraestructura existente, así como el alcance de sus negocios y comprobar que tipo de información de los usuarios están recopilando. Asimismo, merece la pena tener en cuenta opciones de negocios alternativas, como proveedores y vendedores locales que se puedan utilizar para construir una infraestructura en China que sea de conformidad con la nueva Ley de ciberseguridad.

INTRODUCCIÓN A DEZAN SHIRA & ASSOCIATES

Con décadas de experiencia operando en el continente asiático, los especialistas de Dezan Shira y Asociados se encuentran bien posicionados para ayudar a las compañías de habla hispana a superar los obstáculos encontrados y lograr el éxito empresarial no sólo en China, sino en el resto de la región, a través de nuestro Spanish Desk. Para obtener más información, por favor contáctenos en la siguiente dirección: spanishdesk@dezshira.com