Quiénes somos
Texto sugerido: La dirección de nuestra web es: https://sonocarphone.com.
Comentarios
Texto sugerido: Cuando los visitantes dejan comentarios en la web, recopilamos los datos que se muestran en el formulario de comentarios, así como la dirección IP del visitante y la cadena de agentes de usuario del navegador para ayudar a la detección de spam.
Una cadena anónima creada a partir de tu dirección de correo electrónico (también llamada hash) puede ser proporcionada al servicio de Gravatar para ver si la estás usando. La política de privacidad del servicio Gravatar está disponible aquí: https://automattic.com/privacy/. Después de la aprobación de tu comentario, la imagen de tu perfil es visible para el público en el contexto de tu comentario.
Medios
Texto sugerido: Si subes imágenes a la web, deberías evitar subir imágenes con datos de ubicación (GPS EXIF) incluidos. Los visitantes de la web pueden descargar y extraer cualquier dato de ubicación de las imágenes de la web.
Cookies
Texto sugerido: Si dejas un comentario en nuestro sitio puedes elegir guardar tu nombre, dirección de correo electrónico y web en cookies. Esto es para tu comodidad, para que no tengas que volver a rellenar tus datos cuando dejes otro comentario. Estas cookies tendrán una duración de un año.
Si tienes una cuenta y te conectas a este sitio, instalaremos una cookie temporal para determinar si tu navegador acepta cookies. Esta cookie no contiene datos personales y se elimina al cerrar el navegador.
Cuando accedas, también instalaremos varias cookies para guardar tu información de acceso y tus opciones de visualización de pantalla. Las cookies de acceso duran dos días, y las cookies de opciones de pantalla duran un año. Si seleccionas «Recuérdarme», tu acceso perdurará durante dos semanas. Si sales de tu cuenta, las cookies de acceso se eliminarán.
Si editas o publicas un artículo se guardará una cookie adicional en tu navegador. Esta cookie no incluye datos personales y simplemente indica el ID del artículo que acabas de editar. Caduca después de 1 día.
Contenido incrustado de otros sitios web
Texto sugerido: Los artículos de este sitio pueden incluir contenido incrustado (por ejemplo, vídeos, imágenes, artículos, etc.). El contenido incrustado de otras webs se comporta exactamente de la misma manera que si el visitante hubiera visitado la otra web.
Estas web pueden recopilar datos sobre ti, utilizar cookies, incrustar un seguimiento adicional de terceros, y supervisar tu interacción con ese contenido incrustado, incluido el seguimiento de tu interacción con el contenido incrustado si tienes una cuenta y estás conectado a esa web.
Seguridad
Ley Orgánica 15/1999 del 13 de diciembre sobre
Protección de Datos de Carácter Personal
Real Decreto 1720/2007 del 21 de diciembre sobre
Reglamento Desarrollo (RDLOPD)
| Responsable Ficheros | SONOCAR PHONE SL |
| CIF | B82223538 |
| Dirección | C/ESCOSURA, 23 |
| C.P.– Población | 28015 – MADRID |
| Provincia | MADRID (COMUNIDAD DE MADRID) |
| País | ESPAÑA |
| Fecha Documento | 14/05/2018 |
| OBSERVACIONES |
El presente documento de seguridad debe mantenerse en todo momento actualizado, bajo la responsabilidad del Responsable de los Ficheros y en coordinación la persona designada como Responsable de Seguridad.
El contenido y normativa del presente Documento de Seguridad estará adecuado en todo momento a las disposiciones vigentes en materia de seguridad de datos de carácter personal.
Este documento no supone un pronunciamiento explícito o implícito sobre características o situaciones no evidentes y no podrá ser usado para una finalidad distinta de la que es objeto.
Todas las personas de la empresa que tengan acceso a los datos de los Ficheros contemplados en este Documento, bien a través del sistema informático habilitado para acceder al mismo (aplicaciones específicas de gestión, programas de ofimática, … etc.), o bien a través de cualquier otro medio de acceso al Fichero, se encuentran obligadas por ley a cumplir lo establecido en este documento, y sujetas a las consecuencias que pudieran incurrir en caso de incumplimiento.
Una copia de este documento con la parte que le afecte será entregada, para su conocimiento a cada persona autorizada a acceder a los datos del Fichero, siendo requisito obligatorio para poder acceder a esos datos el haber firmado la recepción del mismo.
INDICE GENERAL DE CONTENIDOS
DOCUMENTO DE SEGURIDAD
01 – INTRODUCCION
02 – AMBITO, RECURSOS Y MEDIDAS DE SEGURIDAD
03 – IDENTIFICACION DEL RESPONSABLE DEL FICHERO
04 – ACTUALIZACION Y COMUNICACIÓN DEL PLAN
05 – PROCEDIMIENTO DE REVISION Y CONTROL
06 – PROCEDIMIENTO DE DERECHOS A.R.C.O.
07 – NORMAS
08 – PROCEDIMIENTOS
09 – FUNCIONES Y OBLIGACIONES DEL PERSONAL
10 – INCUMPLIMIENTO DEL DOCUMENTO DE SEGURIDAD
11.- APROBACION
ANEXO AL DOCUMENTO DE SEGURIDAD
ANEXO DE FICHEROS
ANEXO DE RESUMEN GENERAL
Los ficheros a los que se aplica este documento son aquellos que contienen datos de carácter personal y que se almacenan por medios informáticos y/o papel, en las instalaciones de la empresa y de los encargados de tratamiento. Dichos ficheros se indican en el ANEXO del presente documento. Por otra parte, y para comodidad del Responsable de los Ficheros, se cubren todos los niveles de seguridad, es decir, nivel básico, nivel medio, y nivel alto, haciendo mención explícita en este documento de las normas, medidas y procedimientos de cada nivel.
El presente documento establece la normativa a seguir por todo el personal que tiene acceso a los datos de carácter personal y a los sistemas de información reseñados en el presente documento y sus anexos. Siendo de obligado cumplimiento.
El Responsable de los ficheros, asume la responsabilidad de los ficheros notificados a la A.E.P.D. (Agencia Española de Protección de Datos) y relacionados en el ANEXO de este documento, así como la notificación de futuros ficheros que se creen en el seno de la entidad.
El responsable de los ficheros ha supervisado el presente Documento y ha dado las instrucciones precisas para implantar la normativa de seguridad en él reseñada e instruido en su conocimiento, a todo el personal afectado.
Los ficheros de datos personales, usuarios, aplicaciones de acceso a datos, soportes y equipos informáticos afectados por el presente plan de seguridad, se registran en el ANEXO al presente documento.
Salvo en aquellos casos en los que se asegure el nivel de seguridad correspondiente al tipo de fichero tratado, las pruebas anteriores a la implantación o modificación de los sistemas de información que tratan los ficheros con datos de carácter personal, de nivel medio y alto, no se han realizado, ni se realizarán con datos reales.
Ámbito de aplicación
El ámbito de aplicación del presente Documento de Seguridad y su Anexo son todos los ficheros que contengan datos de carácter personal, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento automatizado de los datos de carácter personal sujetos al régimen de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de los Datos de Carácter Personal (L.O.P.D.)
En el ANEXO, se describen detalladamente cada uno de los ficheros que trata la empresa, los sistemas de tratamiento, el nivel de seguridad y cuantos aspectos les afectan de manera particular. Se realiza también especificación detallada de cada uno de los recursos protegidos. Así mismo, se especifican las medidas y normas internas adoptadas encaminadas a garantizar el nivel de seguridad exigido en este Reglamento.
Todas las personas que tengan acceso a los datos de los Ficheros, relacionados en el presente documento, bien a través de los sistemas informáticos, o bien a través de cualquier otro medio de acceso a los mismos, se encuentran obligadas por Ley a cumplir lo establecido en este documento y sujetas a las consecuencias que pudieran incurrir en caso de incumplimiento.
Una copia de este documento, con la parte que le afecte, será entregada para su conocimiento a cada persona autorizada a acceder a los datos de los Ficheros, siendo requisito obligatorio para poder acceder a los datos el haber firmado la recepción del mismo.
La relación de las personas, debidamente autorizadas, para acceder a los ficheros o sistemas de tratamiento, figura en el anexo correspondiente.
La protección de los datos de los ficheros frente a accesos no autorizados se deberá realizar mediante el control de todas las vías por las que se pueda tener acceso a dicha información.
Recursos protegidos
Los recursos que, por servir de medio directo o indirecto para acceder al Fichero, deberán ser controlados por esta normativa son:
- Los centros de tratamiento y locales donde se encuentren ubicados los ficheros o se almacenen los soportes que los contengan.
- Los puestos de usuario, bien locales o remotos, desde los que se pueda tener acceso al Fichero.
- Los servidores, si los hubiese, y el entorno de sistema operativo y de comunicaciones en el que se encuentra ubicado el Fichero.
- Los sistemas informáticos, o aplicaciones establecidos para acceder a los datos.
- Los Medios de Archivo y soportes, bien de copias de seguridad o de ficheros en papel.
(En el anexo correspondiente, figura la lista concreta de todos los recursos de la empresa.)
Medidas de Seguridad
Las medidas de seguridad se clasifican en tres niveles acumulativos (básico, medio y alto) atendiendo a la naturaleza de la información tratada, en relación con la menor o mayor necesidad de garantizar la confidencialidad y la integridad de la información.
| Nivel BASICO |
Se aplicarán a cualquier otro fichero que contenga datos de carácter personal, incluyendo aquellos ficheros que contengan datos de ideología, afiliación sindical, religión, creencias, salud, origen racial o vida sexual, cuando:
– los datos se utilicen con la única finalidad de realizar una transferencia dineraria a entidades de las que los afectados sean asociados o miembros.
– se trate de ficheros o tratamientos no automatizados o sean tratamientos manuales de estos tipos de datos de forma incidental o accesoria, que no guarden relación con la finalidad del fichero.
– en los ficheros o tratamientos que contengan datos de salud, que se refieran exclusivamente al grado o condición de discapacidad o la simple declaración de invalidez, con motivo del cumplimiento de deberes públicos.
| Nivel MEDIO |
Se aplicarán a los ficheros o tratamientos de datos:
– relativos a la comisión de infracciones administrativas o penales;
– que se rijan por el artículo 29 de la LOPD (prestación de servicios de solvencia patrimonial y crédito);
– de Administraciones tributarias, y que se relacionen con el ejercicio de sus potestades tributarias;
– de entidades financieras para las finalidades relacionadas con la prestación de servicios financieros;
– de Entidades Gestoras y Servicios Comunes de Seguridad Social, que se relacionen con el ejercicio de sus competencias;
– de mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social;
– que ofrezcan una definición de la personalidad y permitan evaluar determinados aspectos de la misma o del comportamiento de las personas;
– y de los operadores de comunicaciones electrónicas, respecto de los datos de tráfico y localización
| Nivel ALTO |
Se aplicarán a los ficheros o tratamientos de datos: de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual y respecto de los que no se prevea la posibilidad de adoptar el nivel básico, recabados con fines policiales sin consentimiento de las personas afectadas, derivados de actos de violencia de género.
El presente documento será de aplicación a los ficheros que contienen datos de carácter personal que se hallan bajo la responsabilidad de la empresa, incluyendo los sistemas de información, soportes y equipos empleados para el tratamiento de datos de carácter personal, que deban ser protegidos de acuerdo a lo dispuesto en normativa vigente, las personas que intervienen en el tratamiento y los locales en los que se ubican. En el Anexo correspondiente se describen detalladamente cada uno de los ficheros o tratamientos, junto con los aspectos que les afecten de manera particular.
| Responsable | SONOCAR PHONE SL |
| CIF | B82223538 |
| Dirección | C/ESCOSURA, 23 |
| C.P. – Población | 28015 – MADRID |
| Provincia | MADRID (COMUNIDAD DE MADRID) |
| País | ESPAÑA |
| Ultima actualización | 14/05/2024 |
Con el fin de mantener actualizado el presente Documento de Seguridad, el Responsable de los Ficheros podrá llevar a cabo la modificaciones y adaptaciones que considere oportunas con el fin de atender los nuevos requerimientos legales, que puedan producirse ante el registro de nuevos datos o ficheros, cambios relevantes en el sistema de información o en la organización del mismo, así como las actualizaciones, adaptaciones o mejoras necesarias, de acuerdo con la propia evolución del estado de la técnica en materia informática y de seguridad.
Es responsabilidad del titular de los ficheros emitir los correspondientes informes, realizando su validación mediante impresión y firma manuscrita o aplicación de firma electrónica avanzada con sello de tiempo sobre las versiones electrónicas de los informes.
Por ello se pondrá a disposición general de todos los usuarios copia de este Documento de Seguridad, instruyéndoles sobre la necesidad de que procedan a su estudio y facilitando las consultas que puedan tener.
En caso de modificación, se emitirá circular informativa de interés general, y se pondrá a disposición de los usuarios autorizados a acceder a los sistemas de información, un ejemplar actualizado del Documento de Seguridad.
El Documento de Seguridad deberá mantenerse en todo momento actualizado y deberá ser revisado siempre que se produzcan cambios relevantes en el sistema de información, en el contenido de la información incluida en los ficheros o como consecuencia de los controles periódicos realizados.
En todo caso se entenderá como cambio relevante cuando pueda repercutir en el cumplimiento de las medidas de seguridad implantadas. También deberá incluir en el mismo, todo cambio que se produzca en los procedimientos incluidos en el mismo (gestión de incidencias, copias de seguridad, derechos ARCO,… etc.).
Asimismo, deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.
En concreto, el Documento de Seguridad, será revisado por:
Cambios en los datos incluidos en el Documento.
La creación o supresión de ficheros, cambios en los sistemas informáticos y/o tratamientos de ficheros, cambio en locales y ubicación de archivos, cambios en usuarios y funciones, etc.
Aplicación de Niveles de Seguridad de los Ficheros
En el caso de que se incluyera o eliminara algún campo, por lo que pudiera variar las medidas de seguridad a adoptar.
Control de Acceso a través de Redes de Telecomunicaciones
Cualquier cambio que se produzca en la topología o arquitectura de las redes de telecomunicaciones podría alterar la seguridad de los ficheros.
Régimen de trabajo fuera de los locales de la ubicación de los ficheros.
Si se produce una alteración de la política de definición de usuarios de los sistemas informáticos que trabajen fuera de los locales donde se encuentren ubicados los ficheros.
Copias de Respaldo y Recuperación.
Cualquier modificación que se produzca en le procedimiento de copias de respaldo y recuperación de datos
Actualizaciones de Disposiciones Legales Vigentes
Cualquier modificación legal, instrucción o resolución de la Agencia Española de Protección de Datos.
Adaptación a Nuevas Políticas de Actuación
Cambios en cualquier procedimiento definido en el Documento (control de incidencias, inventario de soportes, entradas y salidas, etc.).
Auditoria (Nivel medio y Alto)
Siempre que se posean datos de nivel medio y/o alto, al menos cada dos años, se realizará una auditoría, externa o interna que dictamine el correcto cumplimiento y la adecuación de las medidas del presente documento de seguridad o las exigencias del RDLOPD de seguridad, identificando las deficiencias y proponiendo las medidas correctoras necesarias.
Con carácter extraordinario, también deberá realizarse auditoría, cuando se lleven a cabo modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas, con el objeto de verificar la adaptación, adecuación y eficacia de las mismas.
Los informes de auditoría serán analizados por el Responsable de Seguridad, quien propondrá al Responsable del Fichero las medidas correctoras correspondientes, debiendo quedar a disposición de la Agencia de Protección de Datos.
Informe mensual sobre el Registro de accesos (Nivel alto)
Dentro de las funciones del Responsable de Seguridad, en la medida que se posean ficheros de nivel alto, está la de realizar un informe de control sobre el Registro de Accesos. Este informe, se realizará dentro del grupo de controles a realizar de forma periódica.
El Responsable del Fichero debe en todo momento asegurar los derechos que los afectados tienen respecto a sus datos personales. En el momento que cualquier usuario tenga noticia de una solicitud de derechos por parte de un afectado, se lo comunicará de forma inmediata al Responsable de Seguridad.
Una vez recabada toda la información, por parte del Responsable de Seguridad, se la comunicará al Responsable del Fichero con el fin de que éste pueda resolverla en los plazos previstos en el RDLOPD (un mes en el caso de derecho de acceso y de diez días para rectificación, oposición y cancelación).
Reclamación del afectado
Los afectados podrán realizar su reclamación de derechos de cualquier forma, siempre y cuando su solicitud reúna los requisitos mínimos:
– Derecho que reclama (Acceso, Rectificación, Cancelación y Oposición).
– Identificación. Deberá estar perfectamente identificado adjuntando fotocopia del DNI.
– Identificación del Representante. En caso de que la solicitud la realice un representante del afectado, éste deberá estar perfectamente identificado, aportando tanto su DNI, como el documento que le acredite como representante.
– En el caso de que la solicitud sea de modificación de datos, deberá adjuntar documentos que acrediten tales cambios.
Con este fin, se dispone de una serie de documentos, que en el caso de que la solicitud se realice en las propias oficinas del Responsable deberán ser utilizados.
En el caso de que la solicitud presente algún defecto, el Responsable del Fichero, está obligado a solicitar la subsanación del mismo al afectado, ya que si no lo hiciera la solicitud deberá ser denegada.
La solicitud de derechos, por parte del afectado debe ser mediante métodos gratuitos para el afectado, o por lo menos que no suponga ningún beneficio para el Responsable del Fichero.
Comunicación al afectado
La comunicación al afectado deberá realizarse de la manera más segura posible, debido al contenido de la información, por lo que se utilizará, en cada caso, el método más adecuado que lo garantice.
En el caso de denegación de las solicitudes, se deberá comunicar al afectado los motivos.
En el caso de una solicitud de Derecho de Acceso, es necesario tener en cuenta que no puede ser ejercida, por parte del afectado en periodos inferiores a doce meses.
El Responsable del Fichero, contestará a la solicitud, tanto si en el fichero figuran datos del afectado como si no figura ninguno.
En el caso de una solicitud de Derecho de Acceso, al afectado se le podrá ofrecer uno de los siguientes sistemas de consulta:
a) Visualización en pantalla.
b) Escrito, copia o fotocopia remitido por correo.
c) Remisión por fax.
1.- LOCALES Y CENTROS DE TRATAMIENTO
Los locales y centros de tratamiento de datos, donde se ubiquen los servidores u ordenadores y archivos en papel que contienen los ficheros deben ser objeto de especial protección que garantice la disponibilidad y confidencialidad de los datos protegidos, especialmente en el caso de que el fichero esté ubicado en un servidor u ordenador personal accedido a través de una red.
Norma l. (Nivel Básico): Los locales deberán contar con los medios mínimos de seguridad que eviten los riesgos de indisponibilidad del Fichero que pudieran producirse como consecuencia de incidencias fortuitas o intencionadas. Las medidas aconsejadas de seguridad deben ser: sistema de alarma conectada a la policía, sistema de prevención y extinción de incendios, acceso de personas externas controlado por el personal interno, bien en la recepción o bien acompañado durante una visita a las instalaciones.
Norma 2. (Nivel Medio): El acceso al local por parte de personas ajenas a la empresa, siempre se realizará con el acompañamiento de personal interno. Ninguna persona no autorizada tiene acceso al local sin presencia de personal autorizado, quién supervisará su comportamiento.
Norma 3. (Nivel Medio): El acceso a los locales donde se encuentran los ficheros estará restringido exclusivamente a los administradores del sistema que deban realizar labores de mantenimiento para las que sea imprescindible el acceso físico así como al personal autorizado.
Son todos aquellos dispositivos informáticos desde los cuales se puede acceder a los datos del Fichero, como por ejemplo, terminales u ordenadores personales. Se consideran también puestos de usuario aquellos terminales de administración del sistema, como por ejemplo, las consolas de operación, donde en algunos casos también pueden aparecer los datos protegidos del Fichero.
Norma 4. (Nivel Básico): Cada puesto de usuario estará bajo la responsabilidad de una persona de las autorizadas. El responsable de un puesto de usuario garantizará que la información a la que accede o que muestra no pueda ser vista por personas no autorizadas. Esta precaución se extremará cuando existan visitas ajenas departamento al que pertenece el fichero. Así mismo, tanto las pantallas como las impresoras u otro tipo de dispositivos conectados al puesto de usuario deberán estar físicamente ubicados en lugares que garanticen esa confidencialidad.
Norma 5. (Nivel Básico): Todos los datos personales serán almacenados en el equipo para la función que fue designado, dando los permisos de acceso sólo a los usuarios autorizados de manera acorde a su nivel de acceso. La revocación de esta prohibición será autorizada por el responsable del fichero, quedando constancia de esta modificación en el Libro de incidencias. En cualquier caso se garantizará el cumplimiento de las medidas de seguridad correspondientes en el PC de usuario, especialmente medidas de control de acceso (como por ejemplo establecimiento de contraseñas, etc.)
Norma 6 (Nivel Básico): Cuando el responsable de un puesto de usuario lo abandone, bien temporalmente o bien al finalizar su turno de trabajo, deberá dejarlo en un estado que impida la visualización de los datos protegidos. Esto podrá realizarse a través de un protector de pantalla que impida la visualización de los datos, o bien mediante el apagado físico del ordenador. La reanudación del trabajo implicará la desactivación de la pantalla protectora con la introducción de la contraseña correspondiente, o bien su encendido debiendo introducir la clave de usuario correspondiente para acceder al puesto de trabajo (ordenador).
Norma 7. (Nivel Básico): En el caso de las impresoras deberá asegurarse de que no quedan documentos impresos en la bandeja de salida que contengan datos protegidos. Si las impresoras son compartidas con otros usuarios no autorizados para acceder a los datos de Fichero, los responsables de cada puesto deberán retirar los documentos conforme vayan siendo impresos.
Norma 8. (Nivel Básico): Queda expresamente prohibida la conexión a redes o sistemas exteriores de los puestos de usuario desde los que se realiza el acceso al fichero. La revocación de esta prohibición será autorizada por el responsable del fichero, quedando constancia de esta modificación en el Libro de incidencias.
Norma 9. (Nivel Básico): Los puestos de usuario desde los que se tiene acceso al fichero tendrán una configuración determinada en sus aplicaciones y sistemas operativos que sólo podrá ser cambiada bajo la autorización del responsable de seguridad por los administradores autorizados.
3.- ENTORNO DEL SISTEMA OPERATIVO
Aunque el método establecido para acceder a los datos protegidos de los Ficheros es el sistema informático, al estar el fichero ubicado en un ordenador con un sistema operativo determinado y poder contar con unas conexiones que le comunican con otros ordenadores, es posible, para las personas que conozcan estos entornos, acceder a los datos protegidos sin pasar por los procedimientos de control de acceso con los que pueda contar la aplicación.
Esta normativa debe, por tanto, regular el uso y acceso de las partes del sistema operativo, herramientas o programas de utilidad, o del entorno de comunicaciones, de forma que se impida el acceso no autorizado a los datos de Fichero.
Norma 10. (Nivel Básico): El sistema operativo y de comunicaciones de los Ficheros deberá tener al menos un responsable. En el caso más simple, como es que el Fichero se encuentre ubicado en un ordenador personal y accedido mediante una aplicación local monopuesto, el administrador del sistema operativo podrá ser el mismo usuario que accede usualmente al Fichero.
Norma 11. (Nivel Básico): Ninguna herramienta o programa de utilidad que permita el acceso a un Fichero deberá ser accesible a ningún usuario o administrador no autorizado. Se incluye cualquier medio de acceso en bruto, es decir no elaborado o editado, a los datos del Fichero, como los llamados editores universales, analizadores de ficheros, herramientas de acceso de bajo nivel al disco duro, etc., que deberán estar bajo el control de los administradores autorizados.
Norma 12. (Nivel Básico): El administrador deberá responsabilizarse de guardar en lugar protegido las copias de seguridad y respaldo de los Ficheros, de forma que ninguna persona no autorizada tenga acceso a las mismas.
Norma 13. (Nivel Básico): Si la aplicación o sistema de acceso al Fichero utilizase usualmente ficheros temporales, ficheros de «logging», o cualquier otro medio en el que pudiesen ser grabados copias de los datos protegidos, el administrador deberá asegurarse de que esos datos no son accesibles posteriormente por personal no autorizado.
Norma 14. (Nivel Básico): Los usuarios deberán eliminar los ficheros intermedios que pudieran haber creado para desarrollar su trabajo, una vez no sean necesarios. En ningún caso se conservarán estos ficheros durante largos periodos de tiempo. En el caso de los puestos de usuario de tipo PC, con sistema operativo Windows, se eliminarán al finalizar cada jornada laboral los ficheros del directorio temporal del sistema (comúnmente C:\WINDOWS\TEMP\) en el caso de que dicho directorio sea utilizado.
Norma 15. (Nivel Básico): Si el ordenador en el que está ubicado el fichero está integrado en una red de comunicaciones de forma que desde otros ordenadores conectados a la misma sea posible el acceso al Fichero, el administrador responsable del sistema deberá asegurarse de que este acceso no se permite a personas no autorizadas. En cualquier caso, deberá identificarse de manera única a las personas que hacen el acceso remoto.
Norma 16. (Nivel Básico): En el caso de puestos con Sistema Operativo Windows, en ningún caso se compartirá con el resto de puestos, el directorio del sistema, comúnmente C:\WINDOWS. Este directorio, entre otras cosas, almacena las contraseñas y el directorio para ficheros temporales. La revocación de esta prohibición será autorizada por el responsable del fichero, quedando constancia de esta modificación en el Libro de Incidencias.
Son todos aquellos programas de software con los que se puede acceder a los datos de un Fichero, y que son usualmente utilizados por los usuarios para acceder a ellos. Estos programas pueden ser aplicaciones informáticas expresamente diseñadas para acceder a los Ficheros (llamadas aplicaciones específicas o a medida) y/o aplicaciones estándares de uso general como aplicaciones o paquetes disponibles en el mercado informático.
Norma 17. (Nivel Básico): Los sistemas informáticos de acceso al Fichero deberán tener su acceso restringido mediante un código de usuario y una contraseña.
Norma 18. (Nivel Básico): Todos los usuarios autorizados para acceder a los Ficheros, deberán tener un código de usuario que será único, y que estará asociado a la contraseña correspondiente, que sólo será conocida por el propio usuario. Si la aplicación informática que permite el acceso al Fichero no cuenta con un control de acceso, deberá ser el sistema operativo, donde se ejecuta esa aplicación, el que impida el acceso no autorizado, mediante el control de los citados códigos de usuario y contraseñas.
Norma 19. (Nivel Básico): En función de las posibilidades técnicas, se limitará el acceso de cada usuario al mínimo conjunto de recursos que necesite para desempeñar su trabajo, configurando de manera adecuada la aplicación y/o el sistema operativo.
Norma 20. (Nivel Medio): Se controlarán los intentos de acceso fraudulento al Fichero, limitando el número máximo de intentos fallidos, y cuando sea técnicamente posible, guardando en un fichero auxiliar la fecha, hora, código y clave erróneas que se han introducido, así como otros datos relevantes que ayuden a descubrir la autoría de esos intentos de acceso fraudulentos.
Norma 21. (Nivel Medio): Si fuera necesario durante las pruebas anteriores a la implantación o modificación de la aplicación de acceso a los Ficheros la utilización de datos reales, se deberá aplicar a esos ficheros de prueba el mismo tratamiento de seguridad que se aplica al mismo Fichero.
Norma 22. (Nivel Alto): En los ficheros de nivel alto, se guardará en un Registro de accesos la identificación del usuario, fecha y hora en la que se realizó el acceso, el fichero accedido, el tipo de acceso y si éste ha sido autorizado o denegado. En caso de haber sido autorizado se guardará información que permita identificar el registro accedido. Los datos de este registro deberán conservarse al menos durante dos años. Los mecanismos de registro de estos datos de acceso no podrán ser desactivados en ningún caso, y estarán siempre bajo control del responsable de seguridad competente.
5.- CUSTODIA DE CONTRASEÑAS DE ACCESO
Las contraseñas personales constituyen uno de los componentes básicos de la seguridad de los datos, y deben por tanto estar especialmente protegidas. Como llaves de acceso al sistema, las contraseñas deberán ser estrictamente confidenciales y personales, y cualquier incidencia que comprometa su confidencialidad deberá ser inmediatamente comunicada al administrador y subsanada en el menor plazo de tiempo posible.
Norma 23. (Nivel Básico): Se llevará a cabo la activación de las medidas de control de acceso proporcionadas por el propio Sistema Operativo y por las aplicaciones informáticas empleadas en la organización, asignando a cada usuario autorizado, un nombre de usuario y clave.
Norma 24. (Nivel Básico): Sólo los usuarios autorizados podrán tener acceso a los datos del Fichero, utilizando para ello el Usuario y Contraseña asignado a tal efecto. Esto se aplica también a los administradores del sistema, incluyendo el personal técnico externo que de manera habitual pudiera colaborar en la administración de los sistemas.
Norma 25. (Nivel Básico): Cada usuario será responsable de la confidencialidad de su contraseña y, en caso de que la misma sea conocida fortuita o fraudulentamente por personas no autorizadas, deberá registrarlo como incidencia y proceder a su cambio inmediatamente, mediante notificación al responsable del fichero.
Norma 26. (Nivel Básico): Los identificadores de usuario y las contraseñas se asignarán y se cambiarán mediante un mecanismo y una periodicidad establecidos, asegurando que se mantiene la confidencialidad de ambos. El archivo donde se almacenen las contraseñas deberá estar protegido y cifrado, y bajo la responsabilidad del administrador del sistema.
Norma 27. (Nivel Medio y Alto): Si el responsable de seguridad lo considera necesario, en aquellos equipos con información altamente sensible, optará por la instalación del sistema de blindaje TID en los equipos informáticos que realizan el tratamiento de los datos de carácter personal, como sistema avanzado de blindaje de ordenadores. Esta tecnología conocida como Sistema de Seguridad TID, está basada en el empleo de tarjetas microprocesadas de alta seguridad. Cada tarjeta incorporará la identidad de su titular y el nivel de acceso autorizado, así como los recursos informáticos que puede utilizar. Así mismo, los equipos tendrán activado el proceso de cifrado automático, de tal forma que el sistema discrimina el acceso a los datos según los derechos de cada usuario, el cual al introducir su SmartCard procede a descifrar la zona de memoria que le es autorizada, y al extraerla, se cifran automáticamente los datos. Los equipos informáticos, si así lo determina el responsable de seguridad, tendrán activado el blindaje de protección de tal forma que solo personal autorizado puede acceder, siempre identificándose mediante la Tarjeta de Identificación Digital.
Norma 28. (Nivel Medio y Alto): Para los ficheros de nivel medio o alto, se limitará la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información. Los sistemas informáticos deberán hallarse configurados para no permitir la introducción de forma reiterada de contraseñas falsas (máximo 3 intentos). Superados estos intentos, el sistema quedará bloqueado y solo se activará mediante clave de desbloqueo conocida por el Responsable de Seguridad. Se solicitará a los proveedores de aplicaciones informáticas información detallada sobre estas capacidades por escrito para su activación, si procede, por el nivel de seguridad de los ficheros procesados desde cada aplicación.
Norma 29. (Nivel Medio y Alto): Exclusivamente el personal autorizado en el documento de seguridad podrá tener acceso a los locales donde se encuentren ubicados los sistemas de información con datos de carácter personal.
6.- INCIDENCIAS
Norma 30. (Nivel Básico): El responsable de seguridad habilitará un Libro de Incidencias con el fin de que se registren en él cualquier incidencia que pueda suponer un peligro para la seguridad del fichero/s.
Norma 31. (Nivel Básico): Cualquier usuario que tenga conocimiento de una incidencia es responsable del registro de la misma en el Libro de Incidencias del Fichero, entregándola por escrito al responsable de seguridad o al responsable del Fichero, que serán los encargados de incorporarla al Libro.
Norma 32. (Nivel Básico): El conocimiento de una incidencia y la falta de notificación o registro de la misma por parte de un usuario será considerado como una falta contra la seguridad del Fichero por parte de ese usuario.
Norma 33. (Nivel Básico): La notificación o registro de una incidencia deberá constar al menos de los siguientes datos: tipo de incidencia, fecha y hora en que se produjo, persona que realiza la notificación, persona a quien se comunica, efectos que puede producir y una descripción detallada de la misma.
Norma 34. (Nivel Básico): El responsable de seguridad se ocupará de gestionar cada incidencia para resolver los problemas que plantee de la mejor manera posible, en colaboración con el responsable del fichero.
Norma 35. (Nivel Medio – Alto): para los ficheros con nivel de seguridad medio y alto, y en relación a los Procedimientos de Recuperación de los datos, deberá consignarse además en el Libro de Incidencias: la persona que ejecutó el proceso de recuperación, los datos restaurados, y en su caso qué datos han sido necesarios grabarlos manualmente. En cualquier caso, será necesaria la autorización por escrito del responsable del fichero para llevar a cabo el procedimiento de recuperación de datos.
7.- FICHEROS
El Responsable del Fichero ha creado un Registro General de Ficheros y ha vinculado éstos al presente plan. Este registro se encuentra bajo la responsabilidad directa del Responsable de Seguridad, el cual en el marco de sus funciones debe de mantenerlo actualizado.
Norma 36. (Todos): La creación de un nuevo fichero o la modificación o supresión de los existentes por parte de los usuarios autorizados debe de contar con la autorización del Responsable del Fichero y deberá ser comunicado este hecho a la A.P.D., antes de la creación efectiva del mismo.
Norma 37. (Todos): El Responsable de los Ficheros, prohíbe expresamente a todos los usuarios autorizados de este Sistema de Información a crear ficheros que tengan como finalidad exclusiva almacenar datos de carácter personal que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual. Esta prohibición no se hace extensiva a los ficheros que justifiquen la inclusión de este tipo de datos en base a su finalidad, el consentimiento de los afectados y la garantía de cumplimiento de todas medidas de seguridad de obligado cumplimiento para los ficheros de nivel alto.
Norma 38. (Todos): Queda igualmente prohibida cualquier tipo de prueba técnica sobre estos ficheros. Las pruebas se realizarán siempre con ficheros temporales creados a tal efecto y con datos simulación.
8.- ORIGEN DE LOS DATOS
Norma 39 (Todos): Los datos serán recogidos exclusivamente de las fuentes informativas y bajo la modalidad establecida por el Responsable del Fichero en su comunicación oficial al Registro General de Protección de Datos.
Norma 40. (Todos): Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:
a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
Norma 41 (Todos): Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos. Queda prohibida toda recogida de datos que esté al margen de lo establecido por el Responsable del Fichero.
Norma 42 (Todos): Los usuarios autorizados prestarán la mayor diligencia posible en informar de sus derechos a los interesados, en especial en la solicitud de consentimiento de recogida de datos; llamando su atención y recomendando que lean las cláusulas informativas que a tal efecto se incluyen en los cuestionarios y/o formularios. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior. Los usuarios autorizados a trabajar con este sistema de información velarán por utilizar exclusivamente impresos que atiendan este requerimiento legal.
Norma 43 (Todos): Cuando la recogida de datos se realice telemáticamente y a través de un formulario informatizado, se deberá incluir en el mismo las advertencias legales anteriormente reseñadas.
9.- CALIDAD DE LOS DATOS
Norma 44 (Todos): El personal encargado de la recogida de los datos debe de prestar máxima atención, de que los datos incorporados a los ficheros automatizados correspondan a la realidad del interesado, y comunicar para proceder a su actualización, de aquellas variaciones informativas que presupongan un cambio en la situación actual del interesado o cualquier inexactitud existente en los mismos. (Artículo 4.3 de la LOPD).
Norma 45 (Todos): Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado. Así mismo informarán de aquellos datos almacenados que consideren que ya no sean necesarios, a fin de que el Responsable del Fichero pueda evaluar su posible cancelación. (Artículo 4.5 de la LOPD)
Norma 46 (Todos): Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.
10.- FICHEROS TEMPORALES
Norma 47. (Todos): Los ficheros temporales deberán cumplir el nivel de seguridad que les corresponda con arreglo a los criterios establecidos en el presente Reglamento. Todo fichero temporal será borrado una vez que haya dejado de ser necesario para los fines que motivaron su creación. Bien los procesos informáticos de forma automática e invisible para el operador, o bien los usuarios autorizados a acceder a los Sistemas de Información para llevar a cabo labores de mantenimiento, análisis, sometimiento a pruebas de los sistemas informáticos o cualquier otra labor necesaria para el buen funcionamiento de los trabajos que le son encomendados, pueden generar ficheros temporales. Estos ficheros deben de ser borrados una vez que se hayan cumplido los objetivos para los cuales fueron creados. En ningún caso se pueden mantener de forma indefinida.
Norma 48. (Todos): La destrucción de estos ficheros se tiene que llevar acabo de forma que imposibilite cualquier posterior recuperación. Debe prestarse especial atención al hecho de no almacenar documentos en la Papelera de Reciclaje.
11.- GESTION DE SOPORTES
Norma 49. (Básico): Se establece que todos los soportes informáticos que contengan datos de carácter personal serán identificados de forma inequívoca, mediante un identificador numérico o nombre formado por fechas o letras que permitan crear una estructura de localización.
Norma 50. (Básico): Los soportes empleados serán inventariados mediante un identificador único. Así mismo se determinará el lugar donde se encuentra almacenado y el tipo de soporte. El Registro de Inventario de soportes se realizará mediante el registro anexo a este documento, que permite vincular los sistemas informáticos a las aplicaciones instaladas y éstas a los ficheros sobre los que actúan.
Norma 51. (Básico): La salida de soportes informáticos que contengan datos de carácter personal, fuera de la oficina donde se encuentra ubicado el fichero, únicamente podrá ser autorizada por el responsable del fichero.
Norma 52. (Todos): Se creará un Registro de Entradas de Soportes donde los responsables especificarán todas las entradas de soportes que se produzcan y realizarán la identificación de los soportes. Los responsables registrarán las bajas de soportes, manteniendo el Registro constantemente actualizado, las bajas deberán contar con la ratificación del Responsable de Seguridad que revisará estos registros con una periodicidad no superior a los seis meses.
Norma 52. (Básico): La detección de soportes con identificador duplicado se registrará como Incidencia en el Libro correspondiente indicando como descripción “Duplicación en la identificación de soportes”, procediendo a la subsanación del error y a efectuar la correspondiente actualización en el Registro Inventario, de tal forma que permita la trazabilidad original del soporte.
Norma 53. (Básico): La falta de material puntual para poder realizar la normal labor de etiquetado de los soportes, será descrita en el Registro de Incidencias como “Falta puntual de etiquetas”.
Norma 54. (Básico): En caso de pérdida o destrucción de un soporte enviado por transporte, se describirá como “Salida Pérdida”, confirmado el proceso de cifrado de los contenidos, se notificará inmediatamente al Responsable de Seguridad, con el fin de que autorice la baja del soporte en el Registro de Inventario. Si no se confirma el proceso de cifrado de los contenidos, deberá ser descrito como “Perdida Sancionable”, y deberá ser notificado inmediatamente al Responsable de Seguridad y al Responsable del Fichero, con el fin de que adopte las medidas disciplinarias oportunas.
Norma 55. (Básico): En caso de pérdida, robo o sustracción de un soporte, se describirán los incidentes como “Pérdida”, “Robo”, “Sustracción”, (según corresponda) y se notificará inmediatamente al Responsable de Seguridad y al Responsable del Fichero, con el fin de que autorice la baja del soporte en el Registro de Inventario y proceda a efectuar la correspondiente denuncia judicial en los supuestos de robo o sustracción, y a adoptar las medidas disciplinarias correspondientes en caso de pérdida.
Norma 56. (Básico): Las medidas de seguridad aplicadas para las ubicaciones de los soportes deberán contemplan el almacenamiento de éstos en un compartimiento bajo llave a cargo del Responsable del Fichero. A ser posible, dicho lugar será protegido contra incendios.
Norma 57. (Alto): Para los ficheros de nivel alto, se conservará una copia del procedimiento de restauración y la copia de seguridad, es decir, los soportes donde se realice la copia, en un lugar diferente a aquél donde se encuentren los sistemas informático, por ejemplo, en la caja de seguridad de un banco o entidad financiera.
Norma 58. (Todos): Cuando sea necesaria la salida de los soportes informáticos que contengan datos personales, fuera de los locales en los que esté ubicado el fichero, deberá solicitarse previamente la autorización del Responsable del Fichero, el cual es el único que puede autorizar su salida.
Norma 59. (Medio): El Responsable del Fichero ha creado un Registro de Salidas de los Soportes informáticos, donde se detallan los siguientes datos:
– Fecha de Salida.
– Causa de la Salida.
– Identificador del soporte.
– Forma de envio.
– Destinatario. En el caso de tratarse de un transporte, se verificará que el responsable de la recepcion esta debidamente autorizado.
– Confirmación de llegada.
– Fecha de devolución. (en su caso).
Estos responsables especificarán el plazo de devolución del soporte el registro de salidas caso de que corresponda. Si cumplido el plazo de una salida con fecha de devolución, ésta no se verifica, se describirá como “No Devolución”, y deberá ser comunicado inmediatamente al Responsable de Seguridad con el fin de que adopte las medidas oportunas.
Estos responsables además se responsabilizan de:
a) Al igual que la salida de soportes informáticos, se registrará su entrada.
b) Adoptar las medidas técnicas o de protocolo interno que garanticen la imposibilidad de reconstruir total o parcialmente los ficheros recibidos una vez se haya realizado la labor necesaria.
Norma 60. (Medio – Alto): Cuando la salida de los ficheros, de nivel medio o alto, venga motivada por consecuencia de operaciones de mantenimiento, éstos serán cifrados o protegidos con medios equivalentes.
Norma 61. (Medio – Alto): Distribución de Soportes. La distribución de soportes que contengan datos de carácter personal, se realizará cifrando los datos o bien utilizando cualquier otro mecanismo que garantice que dicha información no sea legible ni manipulada durante su transporte.
12.- FICHEROS EN PAPEL
Norma 62. (Básico): Los documentos impresos con datos personales se almacenarán de manera que se mantenga la confidencialidad de los mismos en lugares a lo que no tengan acceso personas no autorizadas. En ningún caso se dejarán a la vista, como por ejemplo encima de una mesa, o en la bandeja de salida de las impresoras.
Norma 63. (Todos): Las anteriores normas son de obligado cumplimiento para los documentos soportados en formato papel, quedando pues a tenor de lo dispuesto en referencia al Registro de Entrada y Salida de Soportes.
Norma 64. (Todos): Los documentos impresos con datos personales, una vez que ya no sean necesarios, se destruirán físicamente de manera que no puedan recuperarse los datos que contenían (por ejemplo mediante una trituradora de papel). En ningún caso se reutilizarán este tipo de documentos (por ejemplo, no podrán ser utilizados para imprimir por la otra cara, si estuviera en blanco).
13.- ENTRADA Y SALIDA DE DATOS POR REDES TELEMATICAS
La transmisión de datos por redes telemáticas, como por ejemplo Internet, ya sea por medio de correo electrónico o mediante sistemas de transferencia de ficheros (como p.ej. FTP), es uno de los medios más utilizados para el envío de datos, hasta el punto de que está sustituyendo a los soportes físicos. Por ello merecen un tratamiento especial ya que, por sus características, pueden ser más vulnerables que los soportes físicos tradicionales.
Norma 65. (Medio): Todas las entradas y salidas de datos de los Ficheros, que se efectúen mediante correo electrónico se realizarán desde una única cuenta o dirección de correo controlada por un usuario especialmente autorizado por el responsable del Fichero. Igualmente si se realiza la entrada o salida de datos mediante sistemas de transferencia de ficheros por red, únicamente un usuario o administrador estará autorizado para realizar esas operaciones.
Norma 66. (Medio): Se guardarán copias de todos los correos electrónicos que involucren entradas o salidas de datos del Fichero, en directorios protegidos y bajo el control del responsable citado. Se mantendrán copias de esos correos durante al menos dos años. También se guardará durante un mínimo de dos años, en directorios protegidos, una copia de los ficheros recibidos o transmitidos por sistemas de transferencia de ficheros por red, junto con un registro de la fecha y hora en que se realizó la operación y el destino del fichero enviado.
Norma 67. (Medio – Alto): Cuando los datos del Fichero vayan a ser enviados por correo electrónico o por sistemas de transferencia de ficheros, a través de redes públicas o no protegidas, se recomienda que sean cifrados de forma que solo puedan ser leídos e interpretados por el destinatario. Si los datos son de nivel alto el cifrado es obligatorio.
14.- COPIAS DE SEGURIDAD Y RESTAURACION
La seguridad de los datos personales de los Ficheros no sólo supone la confidencialidad de los mismos sino que también conlleva la integridad y la disponibilidad de esos datos. Para garantizar estos dos aspectos fundamentales de la seguridad es necesario que existan unos procesos de respaldo y de recuperación que, en caso de fallo del sistema informático, permitan recuperar y en su caso reconstruir los datos del Fichero.
Norma 68. (Básico): Se establece que con el fin de garantizar la reconstrucción de los datos, en caso de pérdida o destrucción, se realizarán copias de respaldo únicamente con la autorización del responsable de Seguridad. Estas copias de seguridad deberán realizarse con una periodicidad, al menos semanal, salvo en el caso de que no se haya producido ninguna actualización de los datos. Se evitará desgastar en exceso los soportes donde se realizan las copias de seguridad, rotándolos y renovándolos de forma periódica transcurridos un número determinado de grabaciones o un período de tiempo largo. Los soportes destinados a copias de seguridad seguirán todas las normas definidas para la gestión de soportes (identificación, reutilización y eliminación, etc.).
Norma 69. (Básico): Los Responsables de la realización de las Copias de Respaldo llevarán un calendario que detalle la labor a realizar en cada momento y efectuarán el correspondiente registro en el libro Registro de Copias de Seguridad. Con el fin de que el Responsable del Fichero pueda verificar la correcta aplicación de los procedimientos establecidos. En caso de imposibilidad de realización de las copias de seguridad, se considerará un incidente “No Copia” que tiene que ser notificado inmediatamente al Responsable de Seguridad, con el fin de que adopte las medidas oportunas.
Norma 70. (Básico): En caso de que las copias de seguridad estén corrompidas o hayan desaparecido, el incidente se registrará como “No Copia”, y deberá ser notificado inmediatamente al Responsable de Seguridad y al Responsable del Fichero, con el fin de que adopte las medidas oportunas.
Norma 71. (Medio): Será necesaria la autorización por escrito del responsable del fichero para la ejecución de los procedimientos de recuperación de los datos. En cumplimiento de la Ley de Firma Electrónica, la empresa admitirá la autorización mediante firma electrónica avanzada con sello de tiempo aplicado desde fuente segura, si lo estima oportuno.
Norma 72. (Básico): Los Responsables de la Restauración de las Copias de Respaldo, en caso de tener que efectuar una restauración de copias, emitirán un informe del incidente acaecido, que ha obligado a efectuar esa restauración, detallando los ficheros afectados y solicitando por escrito al responsable del fichero la correspondiente autorización. El proceso de autorización podrá realizarse digitalmente, autentificando la solicitud y la autorización con firma electrónica avanzada.
Norma 73. (Básico): Una vez realizado el proceso, se confeccionará un informe especificando la fecha y hora en que se realizó la restauración, así como la posible pérdida de datos en caso de desactualización entre la fecha de la última copia y última actualización realizada. El incidente deberá será descrito como “Restauración”. Este informe, así como la autorización suscrita, se registrarán en el Libro Registro de Incidencias.
Norma 74. (Básico): En caso de desactualización, y con el fin de atender el requerimiento establecido en el artículo 4.4 de la Ley Orgánica de Protección de Datos de Carácter Personal, el Responsable de la Restauración realizará una valoración de los datos de carácter personal registrados que puedan ser inexactos, con el fin de proceder a su cancelación y rectificación por nuevos valores exactos y puestos al día. Caso de no ser posible la actualización por los medios que obran en poder del Responsable del Fichero, se notificará el suceso a los afectados y solicitará de ellos la información necesaria. El incidente tiene que ser notificado inmediatamente al Responsable de Seguridad.
Norma 75. (Básico): En caso de imposibilidad de restauración o de que la misma tenga una desactualización de evidente importancia, el incidente se registrará como “No Restauración”, y deberá ser notificado inmediatamente al Responsable de Seguridad y al Responsable del Fichero, con el fin de que adopte las medidas complementarias oportunas.
Norma 76. (Alto): Deberá conservarse una copia de respaldo y de los procedimientos de recuperación de los datos en un lugar diferente de aquél en que se encuentren los equipos informáticos que los tratan cumpliendo en todo caso, las medidas de seguridad exigidas en este Reglamento.
El Responsable de Seguridad se encargará de trasladar una copia de respaldo en un lugar diferente al que se encuentran los equipos informáticos. En aquellos casos en los que la copia de respaldo se realice de forma telemática, el Responsable de Seguridad verificará que el procedimiento de transmisión de datos se realice un protocolo de cifrado de alta seguridad, para los ficheros considerados de nivel alto. “La transmisión de datos de carácter personal a través de redes de telecomunicaciones se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.”
Norma 77. (Básico): Al menos con una periodicidad semestral se revisarán los procedimientos de copia por parte del Responsable del fichero.
15.- CONTROLES PERIODICOS
La veracidad de los datos contenidos en este documento, así como el cumplimiento de las normas deberán ser periódicamente comprobados, de forma que puedan detectarse y subsanarse anomalías.
Norma 78. (Alto): El responsable de seguridad del Fichero comprobará, con una periodicidad al menos trimestral, que la lista de usuarios autorizados se corresponde con la lista de los usuarios realmente autorizados en la aplicación de acceso al Fichero, para lo que recabará la lista de usuarios de la aplicación y sus identificadores al administrador o administradores del Fichero. De igual manera, comprobará que los niveles de acceso de cada usuario se corresponden con las medidas técnicas habilitadas para limitar este acceso (restricción de funciones de las aplicaciones, configuración de permisos de carpetas, etc.). También comprobará que se realizan de manera adecuada los procedimientos de gestión de usuarios y contraseñas, especialmente la renovación periódica de las contraseñas. Además de estas comprobaciones periódicas, el administrador comunicará al responsable de seguridad, en cuanto se produzca, cualquier alta o baja de usuarios con acceso autorizado al Fichero.
Norma 79. (Alto): Se comprobará también al menos con periodicidad semestral, la existencia de copias de respaldo correctas que permitan la recuperación de Fichero, así como el procedimiento de copias y restauración.
Norma 80. (Alto): A su vez, y también con periodicidad al menos trimestral, los administradores del Fichero comunicarán al responsable de seguridad cualquier cambio que se haya realizado en los datos técnicos de los sistemas, como por ejemplo cambios en el software o hardware, base de datos o aplicación de acceso al Fichero, procediendo igualmente a la actualización de dichos datos y resto de documentos.
Norma 81. (Alto): También se comprobará, con periodicidad al menos trimestral, que las configuraciones hardware y software de los puestos documentadas se corresponden con las existentes en la realidad, verificando que no se hayan instalado programas sin autorización. Se hará hincapié en verificar que no hay instalados programas especiales como herramientas de utilidad que permitan el acceso no controlado a los ficheros de datos.
Norma 82. (Alto): Se comprobará que se eliminan los ficheros temporales, en los PCs de usuarios.
Norma 83. (Alto): El responsable de seguridad, verificará, con periodicidad al menos trimestral, el cumplimiento de lo previsto en este documento en relación con las entradas y salidas de datos, sean por red o en soporte magnético.
Norma 84. (Alto): El responsable del fichero junto con el responsable de seguridad, analizarán con periodicidad al menos trimestral las incidencias registradas en el libro correspondiente para, independientemente de las medidas particulares que se hayan adoptado en el momento que se produjeron, adoptar las medidas correctoras que limiten esas incidencias en el futuro.
Norma 85. (Alto): El responsable de seguridad revisará periódicamente la información de control registrada en el registro de accesos (log), y elaborará un informe de las revisiones realizadas y los problemas detectados al menos una vez al mes.
Norma 86. (Medio – Alto): Auditorias. Los sistemas de información e instalaciones de tratamiento de datos se someterán a una auditoría interna o externa, que verifique el cumplimiento del presente Reglamento, de los procedimientos e instrucciones vigentes en materia de seguridad de datos, al menos, cada dos años. El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles al presente Reglamento, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y recomendaciones propuestas. Los informes de auditoría serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del fichero para que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia de Protección de Datos.
| 08 | PROCEDIMIENTOS |
1.- Entrada / Recogida de datos personales
Dependiendo del tipo de interesado el sistema de entrada puede ser diferente: tarjetas de visitas, formularios, documentos comerciales, entrevistas, envíos de correos electrónicos, currículos,… etc.
Siempre que se le solicite a un interesado algún dato de carácter personal es imprescindible informarle, tal y como marca el RDLOPD, sobre:
a) La inclusión de sus datos en un fichero, propiedad del responsable y debidamente registrado en la Agencia de Protección de Datos.
b) La finalidad del mismo.
c) Las posibles cesiones a terceros.
d) Sus derechos ARCO (Acceso, Rectificación, Cancelación y Oposición)
Esta información se realizará mediante un documento o la inclusión de una cláusula en los formularios de recogida, que deberá ser firmada por el interesado. En el caso de que el interesado no firmara, sus datos no podrán ser recogidos en los ficheros.
Si además, de la finalidad principal de la recogida de datos existieran otras como por ejemplo el envío de publicidad, deberá ser, de la misma forma admitida de forma expresa por el interesado.
En el caso de que la Información nos la hubiera remitido el interesado por cualquier medio que no hubiera sido posible proceder a informarle de forma adecuada de lo comentado con anterioridad, será imprescindible realizarlo de forma inmediata, remitiéndole un documento a tal efecto con el fin de que en el plazo máximo de tres meses, nos lo remita debidamente, firmado, autorizando el tratamiento de sus datos.
El RLOPD establece que se debe disponer de una relación de Usuarios, totalmente actualizada donde figuren los permisos de accesos a los ficheros y sistemas informáticos.
Para ello, cada vez que se deba crear un nuevo usuario en el sistema, se deba dar de baja o modificar sus premisos, será necesario seguir los siguientes procedimientos que se detallan a continuación.
3.- Creación de Usuarios
El Responsable del Departamento donde vaya a trabajar el nuevo usuario, debe notificar al Responsable de Seguridad las altas de usuarios. En el mismo indicará con claridad los datos básicos del usuario, los ficheros físicos a los que se les debe permitir el acceso y el perfil de usuario.
En función de los permisos que se le concedan y las funciones que vaya a desempeñar, el Responsable de Seguridad le entregará las funciones y obligaciones que figuran en el Documento de Seguridad, teniendo que firmar el usuario el impreso donde afirma haber recibido dicha documentación y se compromete a cumplirlas y a guardar total confidencialidad sobre los datos a los que, por su trabajo, vaya a tener acceso.
El Responsable de Seguridad, bien directamente o a través del Administrador de Sistemas, procederá a configurar los sistemas informáticos (ordenador donde vaya a trabajar, escritorio de trabajo con accesos permitidos a aplicaciones y ficheros y entorno de red), se le asignará una identificación exclusiva (“usuario”) y una contraseña que solo podrá conocer él. El Responsable de Seguridad, incluirá al nuevo Usuario en el Registro de Usuarios con Acceso a datos.
4.- Baja de usuarios
El Responsable del Departamento donde trabaja el usuario que se va a dar de baja, debe notificar al Responsable de Seguridad las bajas de usuarios.
Esta comunicación deberá producirse cuando el cese de la relación laboral o un cambio de departamento hagan innecesario su acceso a los datos. En la notificación se indicarán con claridad los datos básicos del usuario y los ficheros físicos a los que se les debe cancelar el acceso.
El Responsable de Seguridad, bien directamente o a través del Administrador de Sistema, procederá a anular ellos permisos de acceso y el usuario del sistema.
El Responsable de Seguridad, o en su caso el Administrador del Sistema se asegurará que los datos que el usuario haya tratado y que pudieran estar en el puesto de trabajo donde haya trabajado o en carpetas propias en otra ubicación (p.ej. servidor) sean reubicados o borrados, en el caso de que se trataran de ficheros temporales.
Este trabajo será imprescindible realizarlo antes de que el propio ordenador pueda ser reutilizado para otro usuario o vaya a ser destruido.
Una vez realizado todo esto, el Responsable de Seguridad, procederá a indicar la baja del usuario en el registro existente a tal efecto.
5.- Modificación de un usuario
En el caso de que se tuvieran que realizar modificaciones sobre los permisos de acceso a sistemas informáticos y/o ficheros, el Responsable del Departamento donde trabaje el Usuario, procederá a notificar dichos cambios al Responsable de Seguridad.
El Responsable de Seguridad, bien directamente o bien a través del Administrador de Sistemas, procederán a realizar las modificaciones en los sistemas informáticos.
En la medida que estos cambios pudieran suponer un cambio de funciones y/o obligaciones, a nivel de lo que figura en el Documento de Seguridad, el Responsable de Seguridad procederá a notificárselo al usuario.
6.- Identificación y Autenticación de usuarios
El RLOPD establece que toda persona que tenga acceso concedido a ficheros con datos personales, a través de sistemas informáticos, debe estar perfectamente identificada de forma inequívoca.
Los sistemas informáticos de acceso a los ficheros con datos de carácter personal deberán tener su acceso restringido mediante un código de usuario y una contraseña. El código de usuario será asignado por el responsable de seguridad, siguiendo los criterios del responsable del fichero.
En cada sistema de información, la identidad de cada persona autorizada como usuario está asociada al código de usuario que se le ha asignado.
Todos los usuarios autorizados, deberán tener un código de usuario que será único, y que estará asociado a la contraseña correspondiente, que sólo será conocida por el propio usuario.
La contraseña tendrá carácter secreto y estará formada por una cadena alfanumérica introducida por el usuario. Sólo la podrá conocer él y en todo caso, el Responsable de Seguridad.
Tras este proceso, la identificación de la persona a través de “usuario” y “contraseña”, será obligatoria en:
a) Inicio de sesión en su puesto de trabajo
b) Acceso a redes locales
c) Anulación de protectores de pantalla.
La política de asignación de contraseñas, dependiendo de que el Sistema Operativo lo permita, será la siguiente:
Se asignará una contraseña de forma transitoria hasta que el usuario se conecte por primera vez. Momento éste en que el sistema procederá a solicitar una nueva.
Si el sistema no lo permite, será el Responsable de Seguridad quien la cree y comunique al usuario.
Al menos con periodicidad anual, el sistema propondrá de forma automática al usuario el cambio de contraseña, obligando a que la nueva sea diferente a la última. También se cambiarán las contraseñas cuando lo solicite el interesado, cuando haya una incidencia que comprometa la seguridad. Se cancelará la contraseña cuando haya un cambio de funciones o se produzca un cese en el cargo.
En el caso de que el sistema no lo permita, el Responsable de Seguridad, cambiará las palabras de paso de todos los usuarios, comunicándoselas personalmente.
Las contraseñas deben tener al menos seis caracteres. Estarán formadas por letras mayúsculas y minúsculas, no todas iguales, o por cadenas que contengan conjuntamente caracteres alfabéticos y números. No se dejará la contraseña en blanco. No se usará como contraseña el código de usuario
No se guardará la contraseña por escrito en ningún documento, ni en papel, ni en documentos electrónicos legibles.
No se proporcionará la contraseña a otro usuario. Cuando por razones de fuerza mayor, un usuario deba facilitar su contraseña a otro, comunicará el hecho al responsable de seguridad, que lo reflejará en el registro de incidencias y asignará una nueva contraseña a la cuenta en cuanto finalicen las circunstancias que motivaron el hecho.
De la misma forma se procederá en el caso de que ocurra cualquier otra incidencia que pudiera afectar al secreto de la contraseña.
Los sistemas de información mantendrán internamente cada contraseña en formato cifrado y asociada al código de usuario correspondiente. Únicamente el responsable de seguridad tendrá acceso a esta asociación.
Para ficheros de nivel medio-alto las cuentas de acceso a los sistemas de información no podrán ser compartidas, con el fin de que todo aquel usuario que intente acceder al sistema pueda ser identificado de forma inequívoca y personalizada y el sistema pueda verificar que está autorizado.
El responsable de seguridad habilitará los medios técnicos disponibles para que el usuario no pueda eludir las normas de identificación y autenticación. En los casos en los que esto no sea posible, será responsabilidad del usuario su observación y cumplimiento.
En la medida de que se disponga de ficheros de nivel medio, el sistema controlará el número de intentos de acceso, limitándolo a 3.
Si el usuario supera el número de intentos, el sistema bloqueará el puesto de trabajo, teniendo que ser el Responsable de Seguridad, o el Administrador de Sistemas, quien lo desbloquee. En este caso, el Responsable de Seguridad, tras analizar las causas, anotará el hecho en el registro de Incidencias.
Cuando un usuario tenga que abandonar su puesto de trabajo, cerrará o bloqueará su sesión en el ordenador personal. Además, todos los ordenadores personales tendrán activado un protector de pantalla o cualquier otro sistema que impida la utilización del sistema si transcurrieran quince minutos sin que se realice ninguna operación. Una vez activado este sistema, será necesaria la introducción de una contraseña para desactivarlo.
Todo ordenador personal que se utilice fuera de las dependencias, además de las normas de bloqueo de sesión relacionadas en el punto anterior, tendrá activada una protección por contraseña previa a la carga en memoria del sistema operativo (en el set-up). Este punto será especialmente observado en los ordenadores portátiles que salen fuera de la oficina y almacenan datos personales.
El personal sólo accederá a aquellos datos y recursos que precise para el desarrollo de sus funciones. El Responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados.
A la hora de crear un nuevo usuario, o si con posterioridad se realizara algún cambio autorizado de nivel, el Responsable del Fichero, junto con el Responsable de Seguridad, definirá los accesos permitidos.
Una vez definidos sus accesos, a través de la configuración de los puestos de trabajo (sistemas operativos, escritorio, entorno de red y acceso a aplicaciones), se establecen los permisos y limitaciones.
Es por este sistema, por el que para acceder al puesto de trabajo y por tanto a los sistemas informáticos de la empresa por lo que siempre se obliga a la identificación y autenticación de la persona que accede.
Exclusivamente el Responsable de Seguridad está autorizado para conceder, alterar o anular el acceso autorizado sobre los datos y los recursos, conforme a los criterios establecidos por el Responsable del fichero.
En el documento de seguridad figura el procedimiento de alta, modificación y/o baja de usuarios.
El responsable de seguridad mantendrá una relación de usuarios de los sistemas de información con especificación de los accesos autorizados para cada uno de ellos. Esta relación estará siempre actualizada. En el ANEXO correspondiente, se incluye la relación de usuarios actualizada con acceso autorizado a cada sistema de información.
El Responsable de Seguridad comprobará, con una periodicidad al menos trimestral, que la lista de usuarios autorizados del documento de seguridad se corresponde con la lista de los usuarios realmente autorizados en la aplicación de acceso al Fichero.
En relación a ficheros no automatizados, el Responsable de Seguridad adoptará las medidas necesarias para impedir que personas sin la debida autorización tengan acceso a la misma.
En el caso de que personal ajeno a la empresa, tuviera que tener acceso a ficheros que contengan datos de carácter personal, se le deberá exigir el cumplimiento de las mismas medidas de seguridad, que el personal propio.
8.- Control de Acceso físico (nivel medio)
Los locales donde se ubiquen los ordenadores que contienen los ficheros con datos de carácter personal, deberán ser objeto de especial protección que garantice la disponibilidad y confidencialidad de los datos protegidos frente a riesgos que pudieran producirse como consecuencia de incidencias fortuitas o intencionadas.
Exclusivamente el personal con acceso permitido y que así figura en el ANEXO podrá tener acceso a los locales, dependencias o despachos, donde se encuentren ubicados los ficheros de nivel medio (o alto) y/o los sistemas de información con los que se tratan. (Sala de Servidores, armarios con documentación en papel).
Se permitirá el acceso físico a las dependencias donde se ubican los ordenadores a:
a) Todo el personal de la empresa
b) El personal de las empresas de servicios, mantenimiento, limpieza o cualquier otro contratado siempre que sea para la prestación de servicio y tengan firmado un contrato de confidencialidad de protección de datos.
Se considera espacio de acceso restringido la sala del servidor. Solo están autorizados para acceder al citado espacio, las personas que figuran en el anexo correspondiente y las empresas de mantenimiento informático que tengan firmado un contrato de protección de datos.
En la puerta de la sala de acceso restringido se colocarán carteles advirtiendo del carácter restringido del acceso.
Todos los accesos excepcionales a la sala de acceso restringido, serán comunicados por la persona que realizó el acceso, al responsable de seguridad, que los anotará en el registro de incidencias.
En el caso de que fuera imprescindible que personal no autorizado tenga acceso a dichos locales, donde se encuentren ubicados ficheros, se realizará en presencia del Responsable de Seguridad o de quien él delegue.
En la medida de que esto no sea posible (personal de limpieza), el Responsable del Departamento, será responsable de mantener los ficheros debidamente archivados en armarios y/o cajones cerrados con llave y de no dejar ninguna carpeta o fichero fuera de su armario correspondiente.
9. – Registro de Accesos (nivel alto)
Los sistemas informáticos con los que se traten ficheros automatizados de nivel alto, deberán permitir llevar el control de: intentos de acceso (aceptados o no), guardando usuario, fecha, hora, fichero al que se prendía acceder y resultado de la acción. En el caso de que el acceso sea permitido (es decir, el usuario tiene acceso concedido), se deberá guardar la información suficiente para poder determinar el registro al que se haya accedido, así como el tipo de acceso. Estos registros, se archivarán durante 2 años y estarán bajo la supervisión del Responsable de Seguridad.
El Responsable de Seguridad revisará al menos una vez al mes la información de control registrada.
Dado que este registro de accesos es exigido, de forma obligatoria por el RDLOPD, en el caso de que la actual aplicación informática con la que se traten ficheros de nivel alto no lo permita, se solicitará la actualización de la versión a la empresa suministradora del mismo.
En el caso de ficheros de papel de nivel alto, solamente personal debidamente autorizado, tendrá acceso a los armarios y archivadores donde se encuentren ubicados dichos ficheros. Como medida de seguridad adicional y con el fin de cumplir la exigencia de control que marca el RDLOPD, se dispone de un Libro Registro de accesos, donde el usuario autorizado anotará la fecha y hora del acceso y la carpeta a al que accede (este registro solo será obligatorio en el caso de que 2 o más personas tengan acceso a los ficheros de nivel alto.)
No será necesario el registro de accesos definido en este apartado, en caso de que concurran las siguientes circunstancias:
a) Que el responsable del fichero o del tratamiento sea una persona física.
b) Que el responsable del fichero garantice que únicamente él tiene acceso y trata los datos personales.
En el caso de que esta circunstancia se diera, el Responsable de Seguridad lo indicará en el presente Documento de Seguridad.
10.- Gestión de Soportes y Documentos
Un soporte es un objeto físico que almacena o contiene datos o documentos, u objeto susceptible de ser tratado en un sistema de información.
Soportes informáticos son todos aquellos medios de grabación y recuperación de datos que se utilizan para almacenar datos o realizar copias o pasos intermedios en los procesos de la aplicación que gestiona el Fichero.
Los soportes informáticos que contienen datos de carácter personal se identificarán mediante etiquetas que permitan identificar el tipo de información que contienen.
Se mantendrá un inventario de los soportes informáticos que contengan datos de carácter personal. Para cada soporte se especificará al menos: código del soporte, fecha de copia, tipo de soporte y responsable. El inventario podrá gestionarse por medios informáticos.
Todo soporte que contenga información especialmente sensible, estará codificado con criterios de etiquetado que serán comprensibles y con significado para los usuarios autorizados, permitiéndoles identificar su contenido, y que sin embargo dificultan la identificación para el resto de personas.
Para la codificación de soportes, se seguirá el procedimiento que el Responsable de Seguridad defina, que por razones de seguridad y para evitar que personal no autorizado pueda llegar a conocerlo, solo será conocido por él y el personal encargado del control de soportes.
Los soportes serán almacenados en lugar donde nadie, no autorizado, pueda tener acceso. En el anexo al documento de seguridad figuran las personas con acceso a los soportes.
En el caso de soportes tipo disquetes, cd’s, dvd’s, cintas, discos duros externos, llaves USB,… etc., serán almacenados en armarios cerrados, con llave y en la medida que sea posible, ignífugos. De esta forma, además de garantizar que nadie pueda acceder a ellos, garantiza su seguridad ante incendios.
Todos los ficheros con datos de carácter personal se alojarán de forma centralizada en el servidor. El personal no podrá almacenar en el disco de su ordenador ningún fichero con datos personales sin autorización del responsable del fichero.
Las entradas y salidas de ficheros con datos de carácter personal que se realicen a través de sistemas de telecomunicación (correo electrónico, ftp, o cualquier otro) deberán cumplir la normativa de entrada / salida de soportes de información, incluirán el cifrado de datos si el fichero está afectado por las medidas de nivel alto.
11.- Salidas de Soportes y Documentos
La salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos en correos electrónicos, fuera de los locales bajo el control del responsable del tratamiento, deberá ser autorizada por el Responsable del Fichero o por el Responsable de Seguridad.
Para ello, se solicitará autorización al Responsable de Seguridad, rellenando el impreso habilitado a tal efecto.
Se distinguen tres tipos de autorizaciones:
a) Periódicas Continuas: Salidas de datos que se producen con una periodicidad concreta (Mensual, anual, etc.). Solo se requerirá una autorización.
b) Ordinarias: Salidas de información que se realizan de forma repetitiva, pero sin periodo de tiempo definido. Como en el caso anterior, bastará con una sola autorización para cada tipo de salida.
c) Extraordinarias: Salida de datos puntual. Se necesita una autorización para cada salida.
En cada escrito de autorización deberá constar, al menos, el tipo de autorización, el sistema del que procede el fichero, el responsable de realizar el envío, el destino, el tipo de soporte, la forma de envío y el motivo de la salida. En todo caso se guardará anexada a este documento de seguridad una relación actualizada de las autorizaciones concedidas
La persona responsable de la recepción de soportes que contengan datos de carácter personal deberá estar autorizada por el responsable de los ficheros
En el caso de tratarse de ficheros de nivel medio y/o alto, además de la autorización del Responsable de Seguridad, se procederá a registrar la salida en el registro habilitado a tal efecto, independientemente del tipo de salida que sea.
12.- Entradas de Soportes y Documentos
Toda entrada de soporte y documentos, antes de ser introducido en el sistema de información de la empresa, deberá ser autorizada por el Responsable de Seguridad para lo que se deberá cumplimentar el documento correspondiente.
Las entradas pueden ser de los mismos 3 tipos que los indicados en el apartado anterior (periódicas, ordinarias o extraordinarias), por lo que se seguirá el mismo procedimiento ya descrito.
En el caso de tratarse de ficheros de nivel medio y/o alto, además de la autorización del Responsable de Seguridad, se procederá a registrar la entrada en el registro habilitado a tal efecto.
13.- Cifrado en la distribución de Soportes
Aquellos ficheros que deben salir de la empresa, por email, o sea de la forma que fuere, que contengan datos de carácter personal de nivel alto, serán previamente cifrados para garantizar que dicha información no pueda ser accesible o manipulada durante el transporte.
Para el cifrado de ficheros, se utilizará un software que permita introducir una palabra que mediante un algoritmo matemático, impida que nadie que no la conozca, pueda tener acceso al contenido del mismo.
La salida de ficheros automatizados de este tipo puede ser de 2 tipos:
a) Trasladado por el propio personal autorizado de la Empresa. En este caso, la contraseña solo será conocida por la persona que traslada el fichero
b) Enviado a un destinatario: En este caso, la palabra necesaria para desencriptar el fichero, solo podrá darse al destinatario de forma personal, con el fin de asegurar de que solo él sea que pueda tener acceso a su contenido.
14.- Dispositivos Portátiles
Los datos de nivel alto que estén contenidos en los dispositivos portátiles, serán cifrados mientras se encuentren fuera de las instalaciones de la que estén bajo el control del Responsable del Fichero.
Como norma general, deberá evitarse el tratamiento de datos de carácter personal en dispositivos portátiles que no permitan su cifrado. En caso de que sea estrictamente necesario se hará constar motivadamente en el documento de seguridad y se adoptarán medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos.
En el caso de que así se decidiera por parte del Responsable de Seguridad, se anotará lo indicado en el anexo correspondiente.
15.- Destrucción de Soportes y Documentos
Nunca se utilizará como mecanismo de eliminación de papeles o soportes informáticos con datos, los sistemas de papeleras y residuos, ya que éstos tienen que ser destruidos de forma que queden totalmente ininteligibles previamente.
Solamente el Responsable de de Seguridad puede eliminar y/o autorizar la destrucción de soportes, equipos informáticos, carpetas o cualquier otro tipo de soporte.
Cuando un usuario vea la necesidad de que un soporte que almacene información, deja de ser útil y operativo, se procederá a su sustitución y/o eliminación y se efectuaran los siguientes pasos:
El usuario lo comunicará al encargado de seguridad y será incluido al registro de incidencias.
El encargado de seguridad autorizará la destrucción y se asegurará de eliminar la información y/o destrucción del soporte/equipo. Incluirá la acción y las medidas de seguridad adoptadas en el registro de incidencias y en el informe periódico. Además, dará de baja el soporte del inventario correspondiente.
16.- Reutilización de soportes informáticos
El procedimiento a seguir, por parte del Responsable, en los casos de destrucción o reutilización de soportes será el siguiente:
La reutilización de un soporte informático, que en su día fue utilizado para almacenar una copia de seguridad de ficheros con datos de carácter personal, no es aconsejable.
La simple grabación de datos sobre los datos antiguos, no garantiza el borrado real de los mismos ni la imposibilidad de su recuperación.
Para poder aprovechar un soporte (Cinta, CD-DVD regrabable, disco duro, memoria USB,… etc.) y garantizar el borrado total de los datos almacenados en su día, es obligatorio la realización de un formateo «a bajo nivel», con las herramientas que así lo permitan. De esta forma, el borrado se realizará de forma completa y no existirá ninguna forma de recuperación total o parcial de los datos contenidos en el mismo.
17.- Destrucción de soportes informáticos
En el caso de que un soporte informático vaya a ser desechado (tirado a la basura), también deberá realizarse el formateo a bajo nivel, asegurando de esta manera el borrado total de los datos.
Hay que tener en cuenta que el hecho de desechar o reutilizar un soporte, debe ser reflejado en el inventario correspondiente, que lleve el Responsable de Seguridad.
En el caso de desechar CD´s y/o DVD’s no regrabables, deberán ser destruidos físicamente con algún sistema similar al de una destructora de CD’s.
18.- Destrucción de soportes no informáticos (papel)
En el caso de destrucción de carpetas conteniendo información en papel, con datos de carácter personal, deberán ser destruidas mediante destructoras de documentos, con el fin de impedir cualquier recuperación parcial o total de su contenido.
En el caso de destrucción masiva de documentos, por haber vencido el plazo legal de archivo, podrá emplearse empresas especializadas, con su correspondiente certificación, que garantizan la destrucción total y segura de los documentos que se les entrega.
19.- Criterios de archivo de documentos manuales
El archivo de los soportes o documentos se realizará de forma que se cumplan los siguientes criterios:
Ejercicio de Derechos ARCO.
El sistema de archivo debe permitir, de forma sencilla, poder responder en los plazos previstos, a todos los datos de una persona, en el momento que solicite ejercitar sus derechos de acceso, rectificación, cancelación y/o oposición. Para ello, la documentación deberá archivarse de forma alfabética.
Eliminación
Dado que la ley obliga a la eliminación de la documentación, una vez hayan concluido los plazos legales para su mantenimiento, será imprescindible que la documentación se encuentre archivada de una forma que permita cumplir esta obligación. Para cumplir este criterio, la documentación deberá archivarse por fechas.
Dado que estos criterios pueden verse incompatibles, en función del contenido de cada fichero, prevalecerá uno sobre otro o al revés.
De todas formas, como norma general, se seguirá el siguiente criterio: Se archivarán las carpetas o el contenido de los ficheros de forma alfabética.
En el caso de que el documento tenga fecha y por lo tanto deba ser eliminado, una vez transcurrido el plazo legal, se marcará con un color que identifique el año. De esta forma, el criterio de eliminación se podrá cumplir de forma sencilla (se eliminarán todos los documentos del archivo de un color.
20.- Almacenamiento de ficheros manuales
Todos los ficheros conteniendo datos de carácter personal, estarán archivados en armarios, cajoneras o cualquier otro soporte, dotado de medidas de seguridad que impidan el acceso a los mismos al personal no autorizado.
La utilización de llaves en los soportes, despachos o almacenes con llave, o cualquier otro medio que impida el acceso de forma libre, podrán ser medios válidos.
Las llaves de acceso a estos lugares de almacenamiento, solo estará en poder de las personas debidamente autorizadas y que figuran en el ANEXO.
En el caso de ficheros conteniendo datos de nivel alto, los armarios, archivadores u otros elementos además de deber permanecer cerrados de forma permanente, es conveniente que se encuentren en áreas dotadas con puertas dotadas con sistemas de apertura mediante llave y solo serán abiertos para sacar o almacenar el fichero correspondiente.
En cualquier caso, se deberán arbitrar las medidas organizativas correspondientes para evitar que en ningún caso, personal sin la debida autorización (p.ej. personal de limpieza) pueda tener acceso a los locales o despachos en el que se encuentren los armarios o archivadores conteniendo ficheros con datos de nivel alto, sin la presencia de una persona debidamente autorizada y que pueda garantizar la seguridad de los mismos.
En el caso de ser esto imposible, las personas autorizadas para el tratamiento de dichos ficheros, que figuran en los anexos correspondientes, antes de salir del local o despacho, se asegurarán de que ningún fichero pueda quedar fuera de los archivadores habilitados a tal efecto.
Mientras la documentación extraída de los sistemas de almacenamiento permanezca fuera de los mismos, se mantendrá bajo la supervisión del responsable de la misma, impidiendo que cualquier persona no autorizada pueda tener acceso a la misma.
Por lo tanto, es responsabilidad de la persona autorizada al tratamiento del fichero, no dejar el contenido del mismo en mesas o cualquier otro lugar de libre acceso a personas no autorizadas.
22.- Copia o reproducción de ficheros manuales
Como norma general, no está permitida la copia o reproducción de ficheros manuales. Es el Responsable del Fichero a través del Responsable de seguridad el que, analizando la necesidad, autorizará de forma temporal o continua a ciertas personas para su realización.
Sobre dicha copia o reproducción, se aplicarán las mismas medidas de seguridad que sobre el documento original. Una vez que ya no sea útil, deberá procederse a su destrucción de forma que se evite el acceso a la información que contenía, siguiendo los procedimientos definidos a tal efecto.
23.- Traslado de documentación
Cualquier traslado de documentación que se realice, sea del nivel que sea, deberá garantizar que nadie sin la debida autorización, pueda tener acceso a su contenido, así como la sustracción o pérdida. En la medida que sea posible, y una vez recibida la autorización para la salida de información, el traslado se realizará de forma personal.
En el caso de no ser posible, se seguirá el siguiente procedimiento:
- Deberá realizarse en sobre, caja o soporte, cerrado, que impida el acceso a su contenido.
- Deberá ir dirigida de forma concreta a la persona destinataria y debidamente identificada en el Registro de Salida.
- En el caso de no poder ser entregada en propia mano por la persona autorizada de la empresa, se enviará por un medio de transporte que garantice la seguridad en el traslado.
24.- Acceso a datos a través de redes de comunicaciones
Solo el Responsable de seguridad podrá autorizar el acceso a datos a través de redes de comunicaciones. En el caso de que sea necesario, se deberá solicitar la autorización correspondiente, y tras el análisis de la necesidad del mismo y de las medidas de seguridad que en cada caso se tengan que establecer, será autorizado o no.
En el caso de que el acceso autorizado sea sobre datos de nivel alto y por lo tanto exista una transmisión de los mismos a través de redes de comunicaciones, deberán utilizarse, redes seguras.
En el caso de que eso no sea posible, se deberán adoptar medidas para que la transmisión del fichero sea codificada, garantizando de esta forma, que la información sea ininteligible ni manipulada por terceros.
Esto supone que salvo que la red de comunicaciones sea de tipo seguro, no se realizarán tratamientos de datos de nivel alto, mediante sistemas que no puedan garantizar el tránsito.
Por lo tanto, en estos casos, en vez de tratar los datos a través de la red, se procederá a enviar el fichero codificado o encriptado, contando con la debida autorización del Responsable de Seguridad, para ser tratado en el destino del mismo.
De esta forma, se garantizará, tanto el acceso como el tránsito, a través de la red, de los ficheros conteniendo datos de nivel alto.
25.- Régimen de trabajo fuera de los locales
Solo el Responsable de Seguridad puede autorizar el tratamiento de ficheros, conteniendo datos de carácter personal, fuera de los locales de la empresa, tanto en soportes portátiles como en otro tipo de sistemas.
Por lo tanto, en el caso de que forma temporal o de forma continua, se tenga que autorizar a una persona de la empresa este tipo de trabajo o tratamiento, deberá contar con la autorización del responsable de Seguridad y ser anotado en el impreso correspondiente.
Los ficheros temporales o copias de documentos creados exclusivamente para trabajos temporales o auxiliares (p.ej. listados o fotocopias para punteo), deberán cumplir el nivel de seguridad que les corresponda en función de su contenido. Es decir, aun tratándose de ficheros o documentos temporales, se aplicarán las mismas medidas de seguridad que las que se aplican a los ficheros de los que se extraen, tanto para el control de accesos como para su destrucción. Una vez hayan dejado de ser útiles, se procederá a su inmediata destrucción.
En el caso de que, por cualquier razón, se tuviera que crear un fichero temporal con una finalidad diferente a la del fichero origen, deberá ser autorizada expresamente por el Responsable del Fichero.
En este caso, el Responsable del Fichero, previa a su creación, deberá analizar si existe autorización de los interesados para tal finalidad y la modificación de la declaración del fichero, tanto a la Agencia como en el Documento de Seguridad.
El Responsable de seguridad o la persona(s) encargada(s) a tal efecto, realizarán las copias de seguridad de los ficheros de la empresa que contengan datos de carácter personal. En el ANEXO se indica el procedimiento de copias de seguridad. Las Copias se deben realizar al menos semanalmente, excepto cuando no existan cambios en los datos. Así mismo, y con una periodicidad semestral se revisarán los procedimientos de copia de seguridad.
28.- Designación del Responsable de Seguridad (nivel medio)
El Responsable de Seguridad es el encargado de coordinar y controlar las medidas definidas para salvaguardar los datos de carácter personal, contenidos en los ficheros tratados, y definidas en el Documento de Seguridad.
Por esta razón, aunque el RDLOPD establece su existencia siempre que se posean datos de carácter personal de nivel medio, se designará, al menos, un Responsable de Seguridad, cooperando con el Responsable del Fichero.
En ningún caso, la designación supone una exoneración de la responsabilidad que corresponde al Responsable del Fichero, de acuerdo con el RDLOPD.
El Responsable de Seguridad, desempeñará las funciones encomendadas, en tanto en cuanto no se designe a otra persona.
En los anexos correspondientes, figuran el nombramiento del Responsable de Seguridad, por parte del Responsable del Fichero así como las funciones que, por su cargo, tiene asignadas.
29.- Gestión de incidencias
El presente Documento de Seguridad y la documentación vinculada a éste contienen las especificaciones correspondientes en materia operativa: procedimiento de notificación y de gestión de las incidencias. En cualquier caso y ante una incidencia que o bien no esté especificada o bien la interpretación del procedimiento a seguir no le sea entendible para el usuario, éste elevará la consulta al Responsable de Seguridad.
El Responsable del Fichero anotará las distintas incidencias que se produzcan en el tratamiento de los ficheros o en el ámbito organizativo o de seguridad empleando para ello un Libro Registro de Incidencias. En dicho libro se registra el identificador de la incidencia, el momento en que se ha producido, la persona que realiza la notificación, a quién se la comunica, atención que ha recibido la incidencia y los efectos que se hubieran derivado de la misma (detallando informe en caso de necesidad).
Una incidencia es cualquier evento que pueda producirse esporádicamente y que pueda suponer un peligro para la seguridad del Fichero, entendida bajo sus tres vertientes de confidencialidad, integridad y disponibilidad de los datos. El mantenimiento de un registro de las incidencias que comprometan la seguridad de un Fichero es una herramienta imprescindible para la prevención de posibles ataques a esa seguridad, así como para persecución de los responsables de los mismos.
Tendrá la consideración de incidencia respecto a los sistemas de información referidos a los ficheros de cualquier nivel de seguridad:
– Pérdida de Información.
– Modificaciones y accesos no autorizados a los datos.
– La no revisión o modificación del Documento de Seguridad cuando ello fuera preciso.
– El desconocimiento de cualquier persona que trabaje en la empresa de las medidas de seguridad que le sean exigibles, según las funciones que tenga asignadas.
– La falta de notificación o de inscripción de incidencias.
– La inexistencia de relación actualizada de los usuarios de los sistemas de información.
– El incumplimiento de los procedimientos previstos para la autenticación.
– El incumplimiento de las medidas establecidas para la asignación, distribución y almacenamiento de contraseñas.
– El almacenamiento de forma inteligible de contraseñas.
– El acceso no autorizado a datos o recursos.
– El acceso a datos o recursos fuera de los horarios laborables.
– La falta de ejecución de los mecanismos que impidan al usuario el acceso a datos no autorizados.
– La modificación no autorizada de datos.
– El borrado no autorizado de datos.
– La salida no autorizada de soportes informáticos.
– El almacenaje de soportes informáticos que contengan datos en lugares de acceso público.
– La no realización de las copias de respaldo preceptivas en el tiempo que se fija en el presente Documento.
Tendrá la consideración de incidencia respecto a los sistemas de información referidos a los ficheros de nivel medio de seguridad:
– La carencia de los controles periódicos que deben ser efectuados.
– La omisión de registro en la entrada o salida de los soportes, o bien la falta de constancia de los datos que deban ser registrados.
– El incumplimiento de las medidas establecidas para el desecho o reutilización de los soportes.
– El incumplimiento de las medidas de seguridad que persiguen salvaguardar la recuperación indebida de la información que se contenga en los soportes.
– La falta de autorización por escrito del responsable del fichero, para poder ejecutar la recuperación de los datos.
Tendrá la consideración de incidencia respecto a los ficheros de nivel alto de seguridad:
– La distribución en soportes, o transmisión por redes de telecomunicación, de información legible o susceptible de ser manipulada.
– La omisión de alguno o todos los datos que deben figurar en el registro de acceso.
– La desactivación de los mecanismos de registro.
– El acceso por personal no autorizado a la sala de servidores o a un espacio de acceso restringido.
– Las averías que se produzcan en espacios de acceso restringido.
– La eliminación de los datos del registro de acceso antes del periodo de dos años.
– La omisión de comprobaciones periódicas en el tiempo establecido en el Documento de Seguridad.
– La recuperación de datos de nivel alto.
1. – El Responsable de Fichero/s.
El Responsable de los Ficheros es la persona física o jurídica, encargada jurídicamente de la seguridad de los ficheros, por lo que decide sobre la finalidad, su contenido y el tratamiento de los mismos. La obligación principal es implantar las medidas de seguridad establecidas en este documento y asimismo deberá garantizar la difusión de este Documento entre todo el personal que vaya a utilizar los ficheros. Deberá mantenerlo actualizado siempre que se produzcan cambios relevantes en el sistema de información o en la organización del mismo. Deberá adecuar en todo momento el contenido del mismo a las disposiciones vigentes en materia de seguridad de datos. Deberá designar uno o varios responsables de seguridad.
Sus funciones principales serán:
- Elaborar e implantar la normativa de seguridad que garanticen la seguridad e integridad de los datos contenidos en los ficheros, de los que es responsable y establecer un documento de seguridad donde estén contenidas, siguiendo, en todo momento, la normativa vigente. Para llevar a cabo esta función, el Responsable del Fichero ha de ser asesorado por el responsable de seguridad, por el administrador del sistema y por otras personas con responsabilidades o experiencia en el ámbito de la seguridad (sean internos o externos de la empresa). Éstos dotarán al responsable del fichero de las herramientas necesarias para la elaboración del documento.
- Aprobar la creación, modificación de ficheros, conteniendo datos de carácter personal y notificarlos a la Agencia de Protección de datos, previamente a su utilización.
- Designar a la persona que actuará como su enlace en materia de seguridad y cuya existencia es condición específica y necesaria en dicha materia: el responsable o responsables de seguridad, encargados de coordinar y controlar las medidas definidas en el documento de seguridad.
- Implantar los procedimientos de información, ante la recogida de datos y asegurarse de su cumplimiento.
- Adoptar las medidas necesarias para que el personal conozca las normas de seguridad que afectan al desarrollo de sus funciones, así como las consecuencias en que pudiera incurrir en caso de incumplimiento. A tal efecto, aprobará formalmente los planes de concienciación y divulgación de las normas, obligaciones y procedimientos de seguridad.
- Establecer las medidas para que exista una relación actualizada de usuarios que tengan acceso autorizado al sistema de información.
- Establecer un mecanismo que permita la identificación y autenticación, de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado, impidiendo, de esta manera un usuario pueda acceder a información o recursos con derechos distintos de los autorizados
- Establecer los procedimientos de copias y restauración de copias de seguridad, así como las políticas de encriptación y externalización de las mismas.
- Aprobar las medidas correctoras que se puedan derivar de los informes de auditoría.
El Responsable del Fichero debe prestar atención a los siguientes puntos:
A. Centros de tratamiento y locales
Los locales u oficinas deberán contar con los medios mínimos de seguridad que eviten los riesgos de indisponibilidad de los ficheros que pudieran producirse como consecuencia de incidencias fortuitas o intencionadas. El acceso a los locales donde se encuentre el fichero deberá estar restringido exclusivamente a los administradores del sistema que deban realizar labores de mantenimiento para las que sea imprescindible el acceso físico.
B. Entorno de Sistema Operativo y de Comunicaciones
El sistema operativo y de comunicaciones del Fichero deberá tener al menos un responsable. En el caso más simple, como es que el Fichero se encuentre ubicado en un ordenador personal y accedido mediante una aplicación local monopuesto, el administrador del sistema operativo podrá ser el mismo usuario que accede usualmente al Fichero.
C. Sistema Informático o aplicaciones de acceso al Fichero
Los sistemas informáticos de acceso al Fichero deberán tener su acceso restringido mediante un código de usuario y una contraseña. Todos los usuarios autorizados para acceder al Fichero, deberán tener un código de usuario que será único, y que estará asociado a la contraseña correspondiente, que sólo será conocida por el propio usuario.
En función de las posibilidades técnicas, se limitará el acceso de cada usuario al mínimo conjunto de recursos que necesite para desempeñar su trabajo, configurando de manera adecuada la aplicación y/o el sistema operativo.
D. Salvaguarda y protección de las contraseñas personales
Sólo las personas autorizadas podrán tener acceso a los datos del Fichero. La norma anterior se aplica también a los administradores del sistema, incluyendo aquél personal técnico externo que de manera habitual pudiera colaborar en la administración de los sistemas.
E. Gestión de soportes
La salida de soportes informáticos que contengan datos del Fichero fuera de los locales donde está ubicado el Fichero deberá ser expresamente autorizada por el responsable del mismo.
El responsable del Fichero mantendrá un Libro de registro de entradas y salidas donde se guardarán los formularios de entradas y de salidas de soportes, con indicación de tipo de soporte, fecha y hora, emisor, número de soportes, tipo de información que contienen, forma de envío, destinatario, o persona responsable de la recepción que deberán estar debidamente autorizadas.
F. Entrada y salida de datos por red
Todas las entradas y salidas de datos del Fichero que se efectúen mediante correo electrónico se realizarán desde una dirección de correo controlada por un usuario autorizado por el responsable del Fichero. Igualmente si se realiza la entrada o salida de datos mediante sistemas de transferencia de ficheros por red, únicamente un usuario o administrador estará autorizado para realizar esas operaciones.
Se guardarán copias de todos los correos electrónicos que involucren entradas o salidas de datos del Fichero, en directorios protegidos y bajo el control del responsable citado. Se mantendrán copias de esos correos durante al menos dos años. También se guardará durante un mínimo de dos años, en directorios protegidos, una copia de los ficheros recibidos o transmitidos por sistemas de transferencia de ficheros por red, junto con un registro de la fecha y hora en que se realizó la operación y el destino del fichero enviado.
G. Copias de respaldo y recuperación
Será necesaria la autorización por escrito del responsable del fichero para la ejecución de los procedimientos de recuperación de los datos, y deberá dejarse constancia en el registro de incidencias de las manipulaciones que hayan debido realizarse para dichas recuperaciones, incluyendo la persona que realizó el proceso, los datos restaurados y los datos que hayan debido ser grabados manualmente en el proceso de recuperación.
H. Controles periódicos de verificación del cumplimiento
El responsable del fichero junto con el responsable de seguridad, analizarán con periodicidad al menos trimestral las incidencias registradas en el libro correspondiente para, independientemente de las medidas particulares que se hayan adoptado en el momento que se produjeron, adoptar las medidas correctoras que limiten esas incidencias en el futuro.
Al menos cada dos años, se realizará una auditoria, externa o interna, que dictamine el correcto cumplimiento y la adecuación de las medidas del presente documento de seguridad o las exigencias del Reglamento de seguridad, identificando las deficiencias y proponiendo las medidas correctoras necesarias.
Los informes de auditoría serán analizados por el responsable de seguridad, quien propondrá al responsable del Fichero las medidas correctoras correspondientes.
2 – El Responsable de Seguridad
El Responsable de Seguridad es el encargado de coordinar y controlar las medidas definidas para salvaguardar los datos de carácter personal, contenidos en los ficheros tratados, y definidas en el Documento de Seguridad.
El responsable de seguridad coordinará la puesta en marcha de las medidas de seguridad, colaborará con el responsable del fichero en la difusión del Documento de seguridad y cooperará con el responsable del fichero controlando el cumplimiento de las mismas.
A. Sistema Informático o aplicaciones de acceso al Fichero
En los ficheros de nivel alto, se guardará en un registro de accesos la identificación del usuario, fecha y hora en la que se realizó el acceso, el fichero accedido, el tipo de acceso y si éste ha sido autorizado o denegado. En caso de haber sido autorizado se guardará información que permita identificar el registro accedido. Los datos de este registro deberán conservarse al menos durante dos años. Los mecanismos de registro de estos datos de acceso no podrán ser desactivados en ningún caso, y estarán siempre bajo control del responsable de seguridad competente.
B. Gestión de incidencias
El responsable de seguridad del Fichero habilitará un Libro de Incidencias a disposición de todos los usuarios y administradores del Fichero con el fin de que se registren en él cualquier incidencia que pueda suponer un peligro para la seguridad del mismo. El responsable de seguridad se ocupará de gestionar cada incidencia para resolver los problemas que plantee de la mejor manera posible, en colaboración con el responsable del fichero.
C. Copias de Seguridad
El responsable de seguridad se encargará de que se realicen, con la periodicidad establecida en el documento de seguridad, copias de seguridad de los ficheros con datos de carácter personal que garanticen su reconstrucción en caso de pérdida de los mismos.
D. Gestión de soportes
En lo referente a la gestión de soportes, el Responsable de seguridad se ocupará de:
- Asegurar que los soportes que contengan datos de carácter personal estén claramente identificados con una etiqueta externa que indique de que fichero se trata, qué tipo de datos contiene, y proceso que los ha originado y fecha de creación.
- Verificar que aquellos medios que sean reutilizables, y que hayan contenido copias de datos de los ficheros, deberán ser borrados físicamente antes de su reutilización, de forma que los datos que contenían no sean recuperables.
- Encargarse de que los soportes que contengan datos de carácter personal serán almacenados en lugares a los que no tengan acceso personas no autorizadas para el uso de los datos.
- Mantendrá un libro de registro de entradas y salidas donde se guardarán los formularios de entradas y de salidas de soportes informáticos, con indicación del tipo de soporte, fecha y hora, emisor, número de soportes, tipo de información que contienen, forma de envío, destinatario, o persona responsable de la recepción que deberán estar debidamente autorizadas.
- Asegurar que la distribución de los soportes que contengan datos de carácter personal afectados por las medidas de seguridad calificadas de nivel alto, se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que dicha información no sea inteligible ni manipulada durante su transporte.
D. Controles periódicos de verificación del cumplimiento
El responsable de seguridad comprobará, con una periodicidad al menos trimestral, que la lista de usuarios autorizados se corresponde con la lista de los usuarios realmente autorizados en la aplicación de acceso al Fichero, para lo que recabará la lista de usuarios de la aplicación y sus identificadores al administrador o administradores del Fichero.
De igual manera, comprobará que los niveles de acceso de cada usuario se corresponden con las medidas técnicas habilitadas para limitar este acceso (restricción de funciones de las aplicaciones, configuración de permisos de carpetas, etc.).
También comprobará que se realizan de manera adecuada los procedimientos de gestión de usuarios y contraseñas, especialmente la renovación periódica de las contraseñas. Además de estas comprobaciones periódicas, el administrador comunicará al responsable de seguridad, en cuanto se produzca, cualquier alta o baja de usuarios con acceso autorizado al Fichero.
Se comprobará también al menos con periodicidad trimestral, la existencia de copias de respaldo correctas que permitan la recuperación de Fichero.
A su vez, y también con periodicidad al menos trimestral, los administradores del Fichero comunicarán al responsable de seguridad cualquier cambio que se haya realizado en los datos técnicos de los sistemas, como por ejemplo cambios en el software o hardware, base de datos o aplicación de acceso al Fichero, procediendo igualmente a la actualización de dichos datos en el Registro de Sistemas y resto de documentos.
También se comprobará, con periodicidad al menos trimestral, que las configuraciones hardware y software de los puestos documentadas se corresponden con las existentes en la realidad, verificando que no se hayan instalado programas sin autorización. Se hará hincapié en verificar que no hay instalados programas especiales como herramientas de utilidad que permitan el acceso no controlado a los ficheros de datos.
Se comprobará con periodicidad al menos trimestral que efectivamente no se están almacenando documentos con datos personales en los PC de usuario no autorizados. De igual manera se comprobará que se eliminan los ficheros temporales, tanto en los PC de usuario como en el servidor.
El responsable de seguridad, verificará, con una periodicidad al menos trimestral, el cumplimiento de lo previsto en relación con las entradas y salidas de datos, sean por red, en soporte magnético o archivo papel.
El responsable del fichero junto con el responsable de seguridad, analizarán con periodicidad al menos trimestral las incidencias registradas en el libro correspondiente para, independientemente de las medidas particulares que se hayan adoptado en el momento que se produjeron, adoptar las medidas correctoras que limiten esas incidencias en el futuro.
El responsable de seguridad revisará periódicamente la información de control registrada en el registro de accesos, y elaborará un informe de las revisiones realizadas y los problemas detectados al menos una vez al mes.
Para los ficheros de nivel medio y alto, al menos cada dos años, se realizará una auditoria, externa o interna, que dictamine el correcto cumplimiento y la adecuación de las medidas del presente documento de seguridad o las exigencias del Reglamento de seguridad, identificando las deficiencias y proponiendo las medidas correctoras necesarias. Los informes de auditoría serán analizados por el responsable de seguridad, quien propondrá al responsable del Fichero las medidas correctoras correspondientes.
.
3 – Usuarios Autorizados
El personal que, para el correcto desarrollo de su labor, tiene autorizado acceso a datos personales, tiene las siguientes obligaciones:
1.- Obligaciones generales
- Guardar el necesario secreto respecto a cualquier tipo de información de carácter personal conocida en función del trabajo desarrollado, incluso una vez concluida la relación laboral con la organización.
- Guardar todos los soportes físicos y/o documentos que contengan información con datos de carácter personal en un lugar seguro, cuando estos no sean usados, particularmente fuera de la jornada laboral.
- Queda prohibido el traslado de cualquier soporte, listado o documento con datos de carácter personal en los que se almacene información titularidad de la organización fuera de los locales de la misma, sin autorización previa del Responsable de Seguridad. En el supuesto de existir traslado o distribución de soportes y documentos se realizará cifrando dichos datos (nivel alto), o mediante otro mecanismo que el acceso o manipulación de la información por terceros.
- Ficheros de carácter temporal o copias de documentos son aquellos en los que se almacenan datos de carácter personal, generados para el cumplimiento de una necesidad determinada o trabajos temporales y auxiliares, siempre y cuando su existencia no sea superior a un mes. Estos ficheros de carácter temporal o copias de documentos deben ser borrados una vez hayan dejado de ser necesarios para los fines que motivaron su creación y, mientras estén vigentes, deberán cumplir con los niveles de seguridad asignados por el Responsable de Seguridad. Si, transcurrido el mes, el usuario necesita continuar utilizando la información almacenada en el fichero, deberá comunicarlo al Responsable de Seguridad, para adoptar las medidas oportunas sobre el mismo.
- Únicamente las personas autorizadas en un listado de Usuarios podrán introducir, modificar o anular los datos contenidos en los ficheros o documentos objeto de protección. Los permisos de acceso de los usuarios son concedidos por el Responsable de Seguridad. En el caso de que cualquier usuario requiera, para el desarrollo de su trabajo, acceder a ficheros o documentos a cuyo acceso no está autorizado, deberá ponerlo en conocimiento del Responsable de Seguridad correspondiente.
- Comunicar al Responsable de Seguridad, conforme al procedimiento de notificación, las incidencias de seguridad de las que tenga conocimiento.
- Comunicar, de forma inmediata, al Responsable de Seguridad, cualquier conocimiento de solicitud, por parte de los interesados, de derechos ARCO (Acceso, Rectificación, Cancelación y Oposición).
2.- Obligaciones con respecto a Ficheros Automatizados
- Cambiar las contraseñas a petición del sistema.
- Mantener en secreto sus claves de acceso al sistema, debiendo poner en conocimiento del Responsable de Seguridad cualquier hecho que pueda haber comprometido el secreto. Las contraseñas de acceso al sistema son personales e intransferibles, siendo el usuario el único responsable de las consecuencias que pudieran derivarse de su mal uso, divulgación o pérdida
- Cerrar o bloquear todas las sesiones al término de la jornada laboral o en el supuesto de ausentarse temporalmente de su puesto de trabajo, a fin de evitar accesos no autorizados.
- No copiar la información contenida en los ficheros en los que se almacenen datos de carácter personal al ordenador personal, disquetes, portátil o a cualquier otro soporte sin autorización expresa del Responsable de Seguridad correspondiente.
- Guardar todos los ficheros con datos de carácter personal en la carpeta indicada por el Responsable de Seguridad correspondiente, a fin de facilitar la aplicación de las medidas de seguridad que les correspondan.
- Cada usuario que mande un listado a una impresora, sea ésta propia o compartida, se deberá asegurar que no quede ningún documento en la bandeja de salida, que contengan datos protegidos. Además deberá retirar los documentos, conforme vayan saliendo, con el fin de evitar que mientras se imprimen, puedan ser leídos por personas no autorizadas.
- Los usuarios tiene prohibido el envío de información de carácter personal de nivel alto, salvo autorización expresa del Responsable de Seguridad que tenga asignada esta tarea. En todo caso, este envío únicamente podrá realizarse si se adoptan los mecanismos necesarios para evitar que la información no sea inteligible ni manipulada por terceros.
- Los usuarios no podrán, salvo autorización expresa del Responsable de Seguridad, instalar cualquier tipo de programas informáticos o dispositivos ni en los servidores centrales ni en el ordenador empleado en el puesto de trabajo.
- Queda prohibido:
- Emplear identificadores y contraseñas de otros usuarios para acceder al sistema.
- Intentar modificar o acceder al registro de accesos habilitado por el Responsable de Seguridad competente.
- Burlar las medidas de seguridad establecidas en el sistema informático, intentando acceder a ficheros o programas cuyo acceso no le haya sido permitido.
- Enviar correos masivos (spam) empleando la dirección de correo electrónico corporativa.
- El uso del correo electrónico para fines no relacionados con las funciones laborales encomendadas.
El empleo del nombre o apellidos de los trabajadores o funcionarios junto al dominio de la organización en las direcciones de correo no significa la asignación por la organización de un correo personal, esto se realiza únicamente por motivos organizativos internos de asignación de áreas y puestos de trabajo.
- Utilizar Internet para tareas que no estén relacionadas directamente con las funciones asignadas al usuario. La organización regulará las modalidades de acceso y las restricciones o limitaciones del mismo. Queda prohibida la descarga de software o ficheros de cualquier tipo desde Internet, sin consentimiento expreso de la organización, y ello aunque resulte de un acceso consentido por motivos de trabajo.
- Introducir contenidos en la red corporativa y/o ordenador personal que no guarden relación con la actividad y objetivos de la entidad.
- Y en general, el empleo de la red corporativa, sistemas informáticos y cualquier medio puesto al alcance del usuario vulnerando el derecho de terceros, los propios de la organización, o bien para la realización de actos que pudieran ser considerados ilícitos.
Estas obligaciones sólo serán exigibles a los usuarios de ficheros automatizados, en tanto en cuanto la organización disponga los medios adecuados en cada caso.
3. Obligaciones con respecto a Ficheros No Automatizados.
El personal que, para el correcto desarrollo de su labor, tiene autorizado acceso a datos personales en soporte papel, tiene las siguientes obligaciones:
- Guardar el necesario secreto respecto a cualquier tipo de información de carácter personal conocida en función del trabajo desarrollado, incluso una vez concluida la relación laboral con la entidad.
- Mantener debidamente custodiadas las llaves de acceso a la residencia, a sus despachos y a los armarios, archivadores u otros elementos que contenga ficheros no automatizados con datos de carácter personal, debiendo poner en conocimiento del Responsable de Seguridad cualquier hecho que pueda haber comprometido esa custodia.
- Cerrar con llave las puertas de los despachos al término de la jornada laboral o cuando deba ausentarse temporalmente de esta ubicación, a fin de evitar accesos no autorizados.
- Comunicar al Responsable de Seguridad, conforme al procedimiento de notificación, las incidencias de seguridad de las que tenga conocimiento.
- Queda prohibido el traslado de cualquier listado o documento análogo con datos de carácter personal en los que se almacene información titularidad de la entidad fuera de los locales de la misma.
- Guardar todos los soportes físicos o documentos que contengan información con datos de carácter personal en un lugar seguro, cuando estos no sean usados, particularmente fuera de la jornada laboral.
- Asegurarse de que no quedan documentos impresos que contengan datos protegidos impresos en la bandeja de salida de la impresora.
- Únicamente las personas autorizadas para ello en el listado de accesos podrán introducir, modificar o anular los datos contenidos en los ficheros objeto de protección. Los permisos de acceso de los usuarios a los diferentes ficheros son concedidos por el Responsable de Seguridad. En el caso de que cualquier usuario requiera, para el desarrollo de su trabajo, acceder a ficheros a cuyo acceso no está autorizado, deberá ponerlo en conocimiento del Responsable de Seguridad.
- Ficheros de carácter temporal son aquellos en los que se almacenan datos de carácter personal, generados para el cumplimiento de una necesidad determinada, siempre y cuando su existencia no sea superior a un mes. Los ficheros de carácter temporal deben ser destruidos una vez hayan dejado de ser necesarios para los fines que motivaron su creación y, mientras estén vigentes, deberán contemplarse las medidas de seguridad contenidas en este documento.
Si el usuario, además de sus funciones, tiene privilegios para la administración de equipos informáticos, deberá conocer las obligaciones que le corresponden como personal informático.
Debido al especial acceso que tiene el personal informático se le atribuyen unas responsabilidades complementarias:
- Guardar secreto de toda la información de carácter personal, o que afecte a ésta, de la que tenga conocimiento en el desarrollo de su de trabajo, aún después de acabada la relación con la organización.
- Aunque debido a sus funciones disponga de un acceso privilegiado a ciertos recursos, se compromete a acceder únicamente a los datos necesarios para desarrollar sus funciones.
- En el caso que detecten, deficiencias de seguridad en el sistema de información, lo deberán comunicar al Responsable de Seguridad correspondiente.
- Colaborar con el Responsable/s de Seguridad en la resolución de las incidencias que se le encarguen.
- Desempeñar sus funciones con estricta observancia de las obligaciones dispuestas por la legislación sobre protección de datos.
4 – Administradores de Sistemas Informáticos
El Administrador del Sistema Informático es la persona responsable de la configuración y el control del funcionamiento de los sistemas informáticos de la empresa y siempre estará bajo la supervisión del Responsable del Fichero y del Responsable de Seguridad.
Debido al especial acceso que puede tener sobre los sistemas informáticos, se le atribuyen unas obligaciones genéricas que son:
- Guardar secreto de toda la información de carácter personal, o que afecte a ésta, de la que tenga conocimiento en el desarrollo de su de trabajo, aún después de acabada la relación con la organización.
- Aunque debido a sus funciones disponga de un acceso privilegiado a ciertos recursos, se compromete a acceder únicamente a los datos necesarios para desarrollar sus funciones.
- En el caso que detecten, deficiencias de seguridad en el sistema de información, lo deberán comunicar al Responsable de Seguridad correspondiente.
- Poner al día al Responsable de Seguridad sobre las nuevas aplicaciones o programas que permitan el acceso a los ficheros, cuál es su funcionalidad y si presenta nuevos riesgos o funciones que modifiquen las conductas del resto de usuarios.
- Junto con el Responsable de Seguridad, analizará las incidencias registradas, relacionadas con los sistemas informáticos, para extraer las causas y adoptar o recomendar soluciones a las mismas.
A. Entorno de Sistema Operativo y de Comunicaciones
Ninguna herramienta o programa de utilidad que permita el acceso a un fichero deberá ser accesible a ningún usuario o administrador no autorizado.
En la norma anterior se incluye cualquier medio de acceso en bruto, es decir no elaborado o editado, a los datos del Fichero, como los llamados editores universales, analizadores de ficheros, herramientas de acceso de bajo nivel al disco duro, etc., que deberán estar bajo el control de los administradores autorizados.
El administrador deberá responsabilizarse de guardar en lugar protegido las copias de seguridad y respaldo del Fichero, de forma que ninguna persona no autorizada tenga acceso a las mismas.
Si la aplicación o sistema de acceso al Fichero utilizase usualmente ficheros temporales, ficheros de «logging», o cualquier otro medio en el que pudiesen ser grabados copias de los datos protegidos, el administrador deberá asegurarse de que esos datos no son accesibles posteriormente por personal no autorizado.
Si el ordenador en el que está ubicado el fichero está integrado en una red de comunicaciones de forma que desde otros ordenadores conectados a la misma sea posible acceso al Fichero, el administrador responsable del sistema deberá asegurarse de que este acceso no se permite a personas no autorizadas. En cualquier caso, deberá identificarse de manera única a las personas que hacen el acceso remoto.
B. Sistema Informático o aplicaciones de acceso a los Ficheros
Si la aplicación informática que permite el acceso al Fichero no cuenta con un control de acceso, deberá ser el sistema operativo, donde se ejecuta esa aplicación, el que impida el acceso no autorizado, mediante el control de los citados códigos de usuario y contraseñas.
En cualquier caso se controlarán los intentos de acceso fraudulento al Fichero, limitando el número máximo de intentos fallidos, y cuando sea técnicamente posible, guardando en un fichero auxiliar la fecha, hora, código y clave errónea que se han introducido, así como otros datos relevantes que ayuden a descubrir la autoría de esos intentos de acceso fraudulentos.
En función de las posibilidades técnicas, se limitará el acceso de cada usuario al mínimo conjunto de recursos que necesite para desempeñar su trabajo, configurando de manera adecuada la aplicación y/o el sistema operativo.
En casos de ausencia o sustitución de usuarios por compañeros, a instancias del Responsable de Seguridad, deberá configurar para los sustitutos, nuevos perfiles que habrá que eliminar en cuanto finalice la sustitución.
Si durante las pruebas anteriores a la implantación o modificación de la aplicación de acceso al Fichero se utilizasen datos reales, se deberá aplicar a esos ficheros de prueba el mismo tratamiento de seguridad que se aplica al mismo Fichero.
Para el acceso a ficheros de nivel alto, establecerá una aplicación que permita su registro, en el que constará como mínimo la identificación del usuario, fecha y hora de acceso, actividad desarrollada sobre el fichero y su autorización o denegación.
C. Salvaguarda y protección de las contraseñas personales
Los identificadores de usuario y las contraseñas se asignarán y se cambiarán mediante el mecanismo y periodicidad que se determinan en los procedimientos descritos en este documento, asegurando que se mantiene la confidencialidad de ambos. El archivo donde se almacenen las contraseñas deberá estar protegido y cifrado, y bajo la responsabilidad del administrador del sistema.
D. Entrada y salida de datos por red
Todas las entradas y salidas de datos del Fichero que se efectúen mediante correo electrónico se realizarán desde una única cuenta o dirección de correo controlada por un usuario especialmente autorizado por el responsable del Fichero. Igualmente si se realiza la entrada o salida de datos mediante sistemas de transferencia de ficheros por red, únicamente un usuario o administrador estará autorizado para realizar esas operaciones.
Se guardarán copias de todos los correos electrónicos que involucren entradas o salidas de datos del Fichero, en directorios protegidos y bajo el control del responsable citado. Se mantendrán copias de esos correos durante al menos dos años. También se guardará durante un mínimo de dos años, en directorios protegidos, una copia de los ficheros recibidos o transmitidos por sistemas de transferencia de ficheros por red, junto con un registro de la fecha y hora en que se realizó la operación y el destino del fichero enviado.
E. Copias de respaldo y recuperación
Existirá una persona, bien sea el administrador o bien otro usuario expresamente designado, que será responsable de obtener periódicamente una copia de seguridad del fichero, a efectos de respaldo y posible recuperación en caso de fallo.
Estas copias de seguridad deberán realizarse con una periodicidad, al menos, semanal, salvo en el caso de que no se haya producido ninguna actualización de los datos.
Se evitará desgastar en exceso los soportes donde se realizan las copias de seguridad, rotándolos y renovándolos de forma periódica transcurridos un número determinado de grabaciones o un periodo de tiempo largo.
Los soportes destinados a copias de seguridad seguirán todas las normas definidas para la gestión de soportes (identificación, reutilización y eliminación, etc.).
En caso de fallo del sistema con pérdida total o parcial de los datos del Fichero existirá un procedimiento, informático o manual, que partiendo de la última copia de respaldo y del registro de las operaciones realizadas desde el momento de la copia, reconstruya los datos del Fichero al estado en que se encontraban en el momento del fallo.
F. Controles periódicos de verificación del cumplimiento
El responsable de seguridad del Fichero comprobará, con una periodicidad al menos trimestral, que la lista de usuarios autorizados se corresponde con la lista de los usuarios realmente autorizados en la aplicación de acceso al Fichero, para lo que recabará la lista de usuarios de la aplicación y sus identificadores al administrador o administradores del Fichero.
De igual manera, comprobará que los niveles de acceso de cada usuario se corresponden con las medidas técnicas habilitadas para limitar este acceso (restricción de funciones de las aplicaciones, configuración de permisos de carpetas, etc.). También comprobará que se realizan de manera adecuada los procedimientos de gestión de usuarios y contraseñas, especialmente la renovación periódica de las contraseñas. Además de estas comprobaciones periódicas, el administrador comunicará al responsable de seguridad, en cuanto se produzca, cualquier alta o baja de usuarios con acceso autorizado al Fichero.
Se comprobará también al menos con periodicidad trimestral, la existencia de copias de respaldo correctas que permitan la recuperación de Fichero.
A su vez, y también con periodicidad al menos trimestral, los administradores del Fichero comunicarán al responsable de seguridad cualquier cambio que se haya realizado en los datos técnicos de los sistemas, como por ejemplo cambios en el software o hardware, base de datos o aplicación de acceso al Fichero, procediendo igualmente a la actualización de dichos datos en el Registro de Sistemas y resto de documentos.
También se comprobará, con periodicidad al menos trimestral, que las configuraciones hardware y software de los puestos se corresponden con las existentes en la realidad, verificando que no se hayan instalado programas sin autorización. Se verificará especialmente que no hay instalados programas especiales como herramientas de utilidad que permitan el acceso no controlado a los ficheros de datos.
El responsable de seguridad, verificará, con periodicidad al menos trimestral, el cumplimiento de lo previsto en relación con las entradas y salidas de datos, sean por red o en soporte magnético.
El incumplimiento de las obligaciones y medidas de seguridad establecidas en el presente documento de Seguridad, por parte del personal infractor, podrá ser considerado, dependiendo de las consecuencias que ello conlleve al Responsable del Fichero, como falta muy grave.
Las sanciones e indemnizaciones que le pudieran ser impuestas a la empresa, como consecuencia del incumplimiento, deliberado o negligente, por parte de un usuario de cualquier medida, norma, procedimiento, regla u obligación establecida en el presente Documento, conforme al artículo 1904 del Código Civil, serán repetidas por parte de la empresa contra el usuario infractor.
También se advierte que, en cualquier caso, los afectados titulares de los datos de carácter personal pueden dirigir sus acciones civiles, e incluso penales, directamente contra el infractor causante del daño, con independencia de su condición de responsable de los ficheros o simple usuario.
| 11 | APROBACION |
SONOCAR PHONE SL, como Responsable del fichero, aprueba el presente Documento de Seguridad, aceptándolo en su totalidad y ordenando su inmediato cumplimiento, tanto para el personal propio, como ajeno que tenga o pueda tener acceso a los datos de carácter personal que trata la empresa.
En MADRID a 14/05/2024
Fdo. Juan Ignacio Fernández