La privacidad, intimidad, el tratamiento de datos personales y la nueva regulación a la inteligencia artificial están creando un conjunto de mejores prácticas y normas para el desarrollo y la aplicación de sistemas antifraude. En este artículo les contaremos qué estamos haciendo en NOFRAUD para dar cumplimiento a estas regulaciones.
El reglamento general de protección de datos del parlamento Europeo (GDPR) se ha convertido en un estandar a seguir por muchos países en América Latina.
En NOFRAUD hemos creado un software antifraude amigable con las regulaciones de tratamiento de datos personales. Si estas pensando en implementar un sistema de monitoreo, asegúrate de que es Privacy Friendly.
En qué consiste nuestro servicio
Para ejecutar nuestro servicio, el cliente debe instalar unos agentes en los dispositivos corporativos asignados a los colaboradores pertenecientes al proceso que se desea monitorear (ejemplo: compras, tesorería, comercial).
Al instalar el agente en los dispositivos (computadores, celulares, tablets, plantas telefónicas), éste recolecta datos de valor para la detección, prevención y pronóstico de actividades anti éticas en tiempo real. Estos datos son enviados a una consola ubicada en las instalaciones del cliente o en la nube y son analizados por algoritmos que hemos diseñado basados en la teoría del triángulo del fraude.
Una vez son analizados los datos, se generan alertas en caso de que existan comportamientos compatibles con la teoría del triángulo del fraude. Estas alertas son analizadas por humanos y con ellas se construye un informe de riesgos que se le proporciona al cliente de manera periódica.
Qué datos recolectamos
Los agentes analizan datos semánticos de las aplicaciones que se usan en un ambiente corporativo, esto es, analiza las comunicaciones que suceden entre los empleados.
El agente está diseñado y entrenado para que recolecte la mínima información necesaria para poder detectar y prevenir comportamientos anti éticos, como lo es la hora del evento, la aplicación usada en ese momento, la porción del texto donde se encontró el presunto comportamiento anti ético, la dirección IP pública de la empresa y el nombre de usuario del remitente.
Caracterización de los datos
El software está diseñado para ser amigable con la privacidad y el tratamiento de datos personales, es por ello que tiene un diseño por defecto basado en la privacidad. A nuestra plataforma llegan los siguientes datos:
- Hora: la hora en la que sucedió el evento, por ejemplo “Miércoles 27 de Octubre a las 3:17 pm”. Esta hora es capturada del horario que entrega el sistema operativo.
- Dirección IP: la dirección IP pública del router de la empresa cliente, por ejemplo “200.20.23.1”. Esta dirección IP se captura en el proceso den envío y recepción de datos en la plataforma en nube o local.
- Remitente: el nombre de usuario del remitente del mensaje en forma de pseudónimo, por ejemplo “rgcrioses”. Este dato se captura del sistema operativo.
- Aplicación: se captura el nombre de la aplicación en la que sucedió el evento, por ejemplo “Microsoft Teams”. Este dato se captura del nombre del proceso que está siendo usado en ese momento por el usuario.
- Contenido del evento: se captura la porción del texto que contiene el comportamiento presuntamente anti ético, por ejemplo “hagamos un buen negocio, yo te selecciono como proveedor y tu me pagas una comisión”.
En este documento haremos referencia de ahora en adelante a cómo gestionamos esos datos y qué medidas de seguridad están implementadas para propender por su protección y correcto tratamiento. El software The Fraud Explorer no tiene como objetivo capturar datos personales, sin embargo, por la naturaleza del análisis de los datos, podría ocurrir que un evento contenga datos personales.
Canales que se monitorean
The Fraud Explorer soporta la elección de canales a monitorear y para esto se basa en el nombre de las aplicaciones. El cliente, en la etapa inicial del proyecto, nos informa de las aplicaciones corporativas que usa su empresa y la necesidad de monitoreo sobre todas o algunas de ellas. Por ejemplo, el cliente puede manifestar la necesidad de monitorear Microsoft Teams y Outlook.
Dependiendo del entorno regulatorio del cliente y su jurisdicción, por ejemplo si es un departamento de Trading regulado por la SEC, las aplicaciones que se deben monitorear tienen un espectro más amplio, independientemente si son de uso corporativo o personal. Para este caso, armamos un listado de aplicaciones donde potencialmente podría haber contenido semántico, como por ejemplo Telegram, WhatsApp, Messenger y Gmail.
Perfiles restrictivos
The Fraud Explorer permite la configuración de roles y perfiles con varios objetivos. Uno de ellos es el de impedir que una persona que acceda a la plataforma observe datos personales, enmascarando nombres y otro tipo de datos que se consideran personales. La plataforma tiene el rol de administrador, el rol de sólo visualizador, el rol de marcador de eventos y el rol de auditor de eventos.
Autenticación
The Fraud Explorer soporta el uso de un usuario, una clave, un código captcha y un código OTP basado en tiempo. Esto significa que para acceder a la plataforma se usan múltiples factores de autenticación.
Horario de monitoreo
The Fraud Explorer permite que se configuren horarios de monitoreo. A pesar de que nuestros clientes tengan la política de uso aceptable de los recursos y establezcan que los dispositivos no le pertenecen a los empleados, estos muchas veces violan la política y usan los dispositivos para fines personales e íntimos. A nuestros clientes les recomendamos comunicar que la expectativa de privacidad en sus dispositivos sea bien delimitada, sin embargo, para ser amigables con el derecho a la intimidad, The Fraud Explorer permite establecer horarios de monitoreo, para que los empleados tengan tiempos de no-monitoreo que pueden dedicar a sus actividades personales.
Solicitud de consentimiento
The Fraud Explorer permite que se establezca un aviso de monitoreo y se solicite al empleado su consentimiento explícito, que se le pedirá cuando inicie sesión en su dispositivo y antes de que inicie el monitoreo efectivo. Este consentimiento es guardado en nuestra plataforma en nube o local para tener evidencia del día y la hora en que el empleado dió o no dió su consentimiento para el monitoreo.
Monitoreo off-line
The Fraud Explorer solamente monitorea cuando el empleado está en línea trabajando en las aplicaciones corporativas. Cuando el empleado no está en línea, el sistema de monitoreo no envía los datos que están siendo analizados en tiempo real.
Retención de datos
The Fraud Explorer establece políticas para la retención de todos sus datos. Una es la política de retención de datos para la información que llega desde los agentes y otra es para los eventos o alertas que se generan en la plataforma en nube o local. Por defecto, la retención de los datos que llega de los agentes es cero, esto significa que una vez procesada esa información, no se guarda. Para los eventos, recomendamos que se mantenga una retención de 30 días, es decir, las alertas por fraude y corrupción solo tendrán una vida de 30 días en la plataforma y pasados esos 30 días se eliminarán de forma segura.
Restricciones para exportar datos
The Fraud Explorer solamente permite exportar datos en Excel. Este tipo de exportación se hace para preparar el informe de riesgos que es entregado a los clientes de manera periódica y contiene las alertas por comportamientos anti-éticos. Solamente una persona con el rol y perfil específico puede abrir este reporte que está protegido por contraseña.
Cifrado de datos
The Fraud Explorer cifra los datos en tránsito y en reposo con diversos algoritmos y mecanismos. El agente envía los datos a la consola en nube o local a través de protocolos TCP y UDP y para cada uno de ellos se tiene cifrado AES-128, además de capas adicionales de protección como la de HTTPS. Una vez los datos están en reposo, se mantienen cifrados en las bases de datos.
Borrado de datos
The Fraud Explorer permite que se eliminen datos de dos formas. Una es de forma autónoma, por iniciativa propia, por ejemplo cuando un empleado ya no es empleado o la otra es cuando un empleado ejerce su derecho sobre sus datos y solicita que se elimine toda clase de información que permanezca sobre él en la plataforma antifraude.
Enmascaramiento de datos
The Fraud Explorer tiene un proceso especial de enmascaramiento de datos llevado a cabo por una inteligencia artificial que opera de manera independiente. Esta IA está entrenada para buscar nombres, números de identificación, datos bancarios y otros que puedan considerarse sensibles, para enmascararlos y que ni siquiera un administrador los pueda ver.
Registro de auditoría
The Fraud Explorer guarda todas las acciones ejecutadas en la plataforma para todos los roles y perfiles y permite su consulta en un módulo especial llamado “Auditoría. Este módulo es tan detallado que guarda incluso las búsquedas que se realizan en la plataforma, no solamente los movimientos realizados por un usuario.
Seguridad en el diseño
The Fraud Explorer usa el framework ISO27k como base para el diseño de su seguridad, cumpliendo con todos los controles recomendados por la norma. Además, también usamos los controles CIS (Center for Internet Security) para cada uno de nuestros sistemas de información para propender por su aseguramiento. Contamos con un assessment en seguridad anual y hacemos pruebas de hacking ético y tests de penetración con periodicidad mensual para cada una de las instancias de nuestros clientes. Decidimos seguir las buenas prácticas del RGPD del parlamento europeo y aplicar a nuestro software The Fraud Explorer todas las recomendaciones.
Intimidad
The Fraud Explorer incorpora una inteligencia artificial independiente que se ubica en la primera línea de procesamiento de datos y su función es la de detectar contenido íntimo en las comunicaciones. En caso de detectarse, este contenido es inmediatamente ignorado y no se alcanza ni siquiera a recolectar ni a procesar ni a analizar por los demás algoritmos.
Derecho al acceso
NOFRAUD ha dispuesto una plataforma para la atención a requerimientos relacionados con el tratamiento de datos personales. Puede acceder a ella en help.nofraud.la y crear un ticket indicando que el motivo es “Data Privacy”.
Privacidad diferencial
Los cálculos realizados a través de algoritmos limitan la información personal que llega a ellos para revelar un resultado. Esto significa que las inferencias de probable fraude interno se enfocan en los procesos y no en las personas, a pesar de que se analiza la información producida por un empleado, el enfoque de detección está asociado a la acción y no al sujeto.
Políticas
NOFRAUD ha elaborado las políticas de Seguridad de la Información (que contiene también las políticas para la gestión y atención de incidentes y la política de continuidad de negocio) y las políticas de Tratamiento de Datos Personales (que contiene también los procedimientos de consultas y reclamos). Estas políticas están a disposición de nuestros clientes y de los reguladores.
Referencias
(GDPR, 2024) General Data Protection Regulation https://gdpr-info.eu
Acerca de NOFRAUD
NOFRAUD es la compañía que desarrolla el software antifraude The Fraud Explorer y apoya a personas y empresas a enfrentar y solucionar sus retos en materia de fraude interno, corrupción y abuso corporativo. NOFRAUD ha creado la base de datos conductual de actos deshonestos más grande del mundo en Español e Inglés, que sirve para que la inteligencia artificial encuentre patrones sospechosos de corrupción al interior de las organizaciones.
Mejoramos la capacidad de las organizaciones incrementando sus beneficios, arrebatándole a los perpetradores la posibilidad de afectar negativamente los ingresos a través del fraude, la corrupción, el abuso corporativo y la generación de ambientes tóxicos.
Contacte conmigo en » jrios@nofraud.la y Visítenos en » www.nofraud.la.
