Asuntos jurídicos y cumplimiento normativo

NIS2 y DORA: Por qué la seguridad física se convierte en un factor de cumplimiento normativo

Síguenos en LinkedIn LinkedIn
Las directivas NIS2 y DORA exigen explícitamente un control físico de acceso. Cómo una tarjeta de identificación moderna con fotografía se convierte en la primera línea de defensa, y cómo Photo Collect garantiza la seguridad Photo Collect de registro de miles de empleados.

Cuando se piensa en NIS2 y DORA, se piensa en cortafuegos, pruebas de penetración y respuesta ante incidentes. Lo que a menudo se pasa por alto en la práctica es que ambos marcos exigen expresamente también seguridad física. Si no se controla el acceso, por muy bien que se proteja la red, un auditor acabará encontrando la brecha. Y es precisamente aquí donde la tarjeta de identificación con foto del empleado pasa de ser un tema de RR. HH. a convertirse en un factor de cumplimiento normativo.

Qué exigen concretamente la NIS2 y la DORA

Aunque ambos marcos normativos de la UE tienen una estructura diferente, coinciden en lo que respecta al control físico de acceso.

La Directiva NIS2 obliga a las empresas a adoptar medidas mínimas en materia de gestión de riesgos. Además de la seguridad de la cadena de suministro y del personal, también se mencionan el cifrado y los controles de acceso; en este contexto, la seguridad física no solo se da por sentada, sino que constituye un requisito explícito.

El Reglamento DORA para el sector financiero también exige explícitamente directrices y herramientas para garantizar tanto la seguridad lógica como la física de los recursos de TIC. Las directrices correspondientes de la ABE concretan estos requisitos mediante disposiciones como tarjetas de acceso, registros de visitantes y la obligación de identificarse.

En la práctica, esto significa que, tanto en Suiza como en el espacio de la UE, cualquier entidad que, por ser una infraestructura crítica, un banco, una aseguradora, una empresa farmacéutica, una empresa de suministro energético o una gran empresa industrial, esté sujeta a alguna de estas normativas —o que, como proveedor, forme parte de una cadena de suministro regulada—, debe tener bajo control sus sistemas de control de acceso.

Por qué es fundamental llevar un documento de identidad con fotografía

En muchas empresas, la «tarjeta de identificación» sigue siendo hoy en día un chip RFID anónimo o incluso un llavero. Esto hace que la ingeniería social sea muy sencilla: un chip perdido funciona para cualquiera. Una tarjeta prestada pasa desapercibida, ya que en ella no figura ningún dato personal. Los auditores con mandatos NIS2 o DORA cuestionan precisamente estas lagunas.

Un documento de identidad con fotografía a prueba de falsificaciones subsana tres deficiencias a la vez:

  1. Comprobación visual en recepción y en los controles de acceso: la foto de la tarjeta debe coincidir con la persona que la presenta. Suena trivial, pero es la forma más sencilla de verificación multifactorial en el edificio.
  2. Transparencia ante los auditores: las tarjetas de identificación con fotografía, uniformes y documentadas, demuestran que existe un proceso controlado. Los chips anónimos demuestran lo contrario.
  3. Capacidad de respuesta ante incidentes: cuando se investiga un incidente de seguridad, la identificación de personas en puertas y esclusas sin fotografía resulta prácticamente imposible.

El reto en la práctica: la escalabilidad

Quien haya comprendido el requisito se enfrenta al siguiente problema: ¿cómo conseguir varios miles de fotos de los empleados que sean uniformes y de alta calidad, que cumplan con la normativa de protección de datos, que sean verificables y en un plazo razonable? Los métodos tradicionales fracasan en este punto:

  • Fotógrafo profesional in situ: demasiado caro, demasiado lento y una pesadilla logística cuando las ubicaciones están dispersas.
  • Los empleados suben ellos mismos una foto: calidad deficiente, fondos dispares, incumplimiento de la identidad corporativa, ausencia de registro de auditoría.
  • Cabina fotográfica en el vestíbulo: tiempos de espera, soluciones aisladas, sin integración en los sistemas de RR. HH. o de control de accesos.

Es precisamente esta discontinuidad en el proceso el punto en el que el cumplimiento normativo fracasa en la práctica.

Cómo Photo Collect garantiza la seguridad Photo Collect proceso

Photo Collect el software suizo B2B para la captura automatizada de fotografías de identificación. La clave: los empleados reciben un enlace personalizado por correo electrónico o SMS, se hacen la foto con su propio smartphone —sin necesidad de aplicaciones ni de iniciar sesión— y la IA comprueba automáticamente la nitidez, el fondo, la posición de la cabeza, las gafas y otros parámetros. Cuatro aspectos fundamentales hacen que el proceso sea compatible con NIS2 y DORA:

Alojamiento web en Suiza, seguro y protegido. Todas las fotos se pueden procesar exclusivamente en un centro de datos con certificación ISO 27001 en Suiza. Visible Solutions puede encargarse por sí misma del procesamiento completo de las imágenes, incluidos los modelos de IA, sin necesidad de recurrir a servicios en la nube extranjeros. De este modo, los datos de las imágenes están totalmente protegidos frente a la Ley CLOUD de EE. UU., un aspecto que se consulta cada vez más en las auditorías NIS2.

Una plataforma dedicada por cliente. En lugar de una nube multitenant , cada cliente puede gestionar su propia instancia aislada. De este modo, la segregación de datos entre clientes no solo se resuelve mediante una separación lógica en un entorno compartido, sino también de forma estructural.

Minimización de datos y eliminación automática. Una vez completada la exportación —en formato ZIP, sFTP, API REST o, opcionalmente, cifrada con OpenPGP—, los datos de imagen se eliminan automáticamente. Esto cumple con los requisitosGDPR y la CH-DSG en materia de limitación de la finalidad y de la conservación de datos. Documentado mediante el DPA y el SLA.

No se utiliza IA generativa en el rostro. Photo Collect no Photo Collect los rostros. Esto es fundamental desde el punto de vista normativo: en una foto de documento de identidad, la persona debe ser reconocible, no una versión optimizada de la misma. La IA comprueba, recorta y sustituye el fondo, nada más. Para más información, consulta el artículo «Mejora de imágenes con IA: ¿qué está permitido?».

Qué significa esto en cifras

Photo Collect ha procesado más de 4 millones de fotos; de media, este proceso lleva menos de 2 minutos por empleado. En un grupo industrial con 20 000 empleados, el proceso de cambio de insignia se completó en tres semanas, con una aceptación por parte de los empleados prácticamente del 100 % y una tasa de error inferior al 2 %. En el control de calidad manual opcional, una persona vuelve a comprobar la conformidad de las imágenes recibidas. La interfaz de usuario optimizada permite revisar miles de fotos por hora. La validación mediante IA respalda el proceso y señala posibles problemas ya durante la carga.

En el caso de una implantación de NIS2 o DORA con un gran volumen de reetiquetado, esa es la diferencia entre un proyecto que se ajusta al plan y uno que volverá a ocupar al auditor en la siguiente ronda.

Integración en la arquitectura de seguridad existente

Photo Collect integrar en los procesos existentes. A través de una API REST y de integraciones preconfiguradas, la plataforma se integra en los sistemas de control de accesos, de recursos humanos y de impresión de tarjetas ya existentes. De este modo, la foto verificada se envía directamente al sistema de gestión de recursos humanos o de tarjetas, sin pasos intermedios manuales y sin rutas de datos no seguras.

Quien instale Photo Collect en un subdominio propio y en su propio servidor SMTP, mantendrá todo el proceso dentro de su propio dominio de confianza, un aspecto que suele surgir en las auditorías DORA sobre riesgos en la cadena de suministro.

El cumplimiento normativo empieza en la puerta de entrada

NIS2 y DORA no son solo una cuestión de TI. Quien considere el control físico de accesos como un tema secundario de gestión de instalaciones, se lo señalarán en la próxima auditoría. Una tarjeta de identificación de empleado con fotografía, uniforme y a prueba de falsificaciones, ya no es hoy en día un mero detalle de imagen para RR. HH., sino parte de la arquitectura de cumplimiento normativo.

Photo Collect la brecha entre la necesidad —fotos uniformes y de calidad contrastada para miles de personas— y el esfuerzo operativo que hasta ahora ha paralizado muchos proyectos. Alojamiento en Suiza, instancia dedicada, eliminación automática, sin IA generativa aplicada a los rostros. Quienes deban implementar NIS2 o DORA tendrán así una preocupación menos.

Síguenos en LinkedIn LinkedIn

Nico Schefer

Escrito por

Otros artículos

Asuntos jurídicos y cumplimiento normativo

ICAO 9303 frente a ISO/IEC 19794-5: lo que los equipos de RR. HH. y cumplimiento normativo suizos realmente necesitan en lo que respecta a las fotos de los empleados

Gestión de procesos

Recopilar de forma eficaz fotos de retrato uniformes de muchas personas

Tecnología

Fotografías de rostro: captura conforme a los requisitos biométricos y de la OACI, y con una escalabilidad eficiente

Gestión de procesos

Protección de datos en quioscos de autoservicio y cabinas fotográficas: por qué las empresas deben prestar especial atención a las fotos de los empleados para los carnés de identidad

Asuntos jurídicos y cumplimiento normativo

Cuestiones legales sobre las fotografías que figuran en la tarjeta de identificación del empleado

Asuntos jurídicos y cumplimiento normativo

Mejoras de imagen con IA: ¿qué está permitido?

Fotografías de los empleadosFotos para el documento de identidadCarnés de estudiante
Subir demoBlogNormas fotográficas de la OACIExperto en ChatGPT
Aviso legalPolítica de privacidadPolítica de cookiesEstado del sistema
© Photo Collect Visible Solutions , Zúrich, Suiza