Oracle demanda a SAP

SAPHe tenido tiempo de leer la demanda presentada el pasado 22 de marzo por Oracle contra SAP en el Juzgado de Distrito de San Francisco. En concreto, demanda a SAP, a las filiales SAP América y TomorroNow, entre otras, puesto que desconoce la identidad de los autores de más accesos que hayan podido producirse.

Oracle alega que se produjeron accesos ilegales sistemáticos a los sitios web de soporte a clientes utilizando usuarios y contraseñas de clientes. A través de este sistema, SAP supuestamente ha descargado miles de documentos y software de la propiedad de Oracle, lo que le permite ofrecer un servicio más barato a clientes que utilizan ese software.

En noviembre de 2006 se detectó una alta actividad de descarga en la web de soporte de PeopleSoft y de la línea de productos JDEdwards (Customer Connection): un promedio de 1.800 descargas en menos de 4 días, cuando el promedio de un cliente es de tan sólo 4.

Los múltiples accesos y descargas no se han hecho desde direcciones de clientes. Como ejemplo menciona que desde una IP en Bryan (Texas), donde tiene sede una filial llamada SAP TN que presta servicios relacionados con productos de Oracle. También relata cómo desde la misma IP, también perteneciente a SAP, se han hecho hasta siete accesos utilizando credenciales de diferentes clientes en un período de 15 días. Todos los ejemplos tenían en común que eran nuevos clientes de SAP AG, SAP TN o SAP América.

En la demanda también se pone de manifiesto que el robo de información sería de provecho para todo el grupo de empresas que conforman SAP en el mundo.

Es un caso que hay que seguir de cerca. No se ve todos los días como un gigante del software demanda a otro con tal grado de certeza. Tras invertir más de 20.000 millones de dólares en comprar empresas de software durante los últimos tres años no tiene que gustar descubrir que tu más eterno rival te birla todo tu conocimiento de un modo bastante fácil.

¿Cómo andarán las empresas españolas de software en cuanto a protección de activos? No creo que existan unas serias medidas contra algo parecido a lo que le ha ocurrido a Oracle. Y cuanto más pequeña sea la empresa, menos aún.

Datos personales accesibles con el programa Emule: 6000 euros de sanción a FSAP-CCOO

burritoEl 23 de febrero la Agencia Española de Protección de Datos sancionó a la Federación de Servicios y Administraciones Públicas de Comisiones Obreras con 6.000 euros de multa por infringir el artículo 9 de la LOPD, es decir, por no haber implementado las medidas de seguridad oportunas sobre ficheros que contienen datos de carácter personal.

En uno de los listados en formato Access descargados a través de Emule figuraban la situación profesional de los afectados, su condición de funcionarios, el cuerpo de pertenencia, puesto desempeñado, centro de trabajo y formación, entre otros. Debido a esto la Agencia afirma que se permite la obtención de una evaluación de la personalidad de los titulares de los datos, y que las medidas de seguridad a aplicar al fichero hubieran debido ser las de nivel medio.

La Agencia niega una cualificada disminución de la culpabilidad por la implantación de las medidas de seguridad por el responsable de los ficheros una vez se ha detectado la infracción, y sin embargo sí accede a aplicarla basándose en lo siguiente:

Fundamento de Derecho VI, párrafo cuarto

… hay que considerar que la FSAP-CCOO, con objeto de remediar en el futuro la conducta imputada, no se ha limitado a la estricta elaboración del citado Documento de Seguridad, sino que ha desarrollado una extensa actividad para evitar la comisión de infracciones en materia de protección de datos de carácter personal impartiendo instrucciones a las diversas unidades y federaciones que la integran, incluso a nivel de secciones sindicales y responsables locales, o mediante acciones formativas, y ha modificado el sistema establecido para recabar los datos de los trabajadores que pretendan participar en los cursos de formación contínua que convoca y su tratamiento posterior.

Es decir, divulgar instrucciones y formar al personal, también incluido entre las obligaciones del responsable del fichero (artículo 9.2 del vigente Reglamento de Medidas de Seguridad, in fine) sí que son apreciadas como causa de disminución de la culpabilidad. Manda huevos… luego dicen que las resoluciones son igual para todos.

Predigo que no será tampoco la última sanción que se impone por una fuga de ficheros a través de programas P2P. Basta con teclear en Emule palabras como “listado”, “fichero datos”, o expresiones similares para obtener listados que contienen datos personales. Otra cosa es que se denuncie.