La Agencia Española de Protección de Datos (AEPD), en colaboración con la Asociación Profesional Española de Privacidad (APEP) y la Asociación Española para el Fomento de la Seguridad de la Información (ISMS Fórum), ha publicado un documento de orientación para la validación de sistemas criptográficos, con el objetivo de orientar a responsables, encargados, delegados de protección de datos, asesores y auditores sobre los criterios para verificar la efectividad de las medidas implementadas.
Considera la AEPD que “los mecanismos criptográficos, adecuadamente implementados, proporcionan medidas robustas de protección de los datos personales en tratamientos automatizados a la hora de asegurar confidencialidad, integridad y autenticidad”.
Asimismo, indica una metodología de análisis en base a la clasificación de riesgos del sistema de cifrado y medidas de comprobación que contemplan la evaluación de claves, espacio de mensajes, información cifrada, suite de cifrado, comunicaciones, circunstancias del receptor y medidas de gobernanza.
Además, la AEPD facilita un listado de controles, no exhaustivo, para garantizar el control en los procedimientos de privacidad desde el diseño y por defecto, como forma de buscar la prevención de riesgos y el cumplimiento al principio de la responsabilidad proactiva. El documento puede ser accedido en la página web de la AEPD.