Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
DOCUMENTO DE SEGURIDAD
COMPANY
Fecha:
Fecha:
FECHA 07/12/2004
PGINA 1 DE 38
COMPANY, S.L.
DOCUMENTO DE SEGURIDAD
CONTENIDO
CAPTULO 1: INTRODUCCIN...................................................................................................4 1INTRODUCCIN..............................................................................................................................4 2MBITO DE APLICACIN................................................................................................................4 2.1mbito subjetivo..................................................................................................................4 2.2mbito material...................................................................................................................5 CAPTULO 2: FUNCIONES Y OBLIGACIONES DEL PERSONAL..............................................6 3RESPONSABLE DEL FICHERO.......................................................................................................7 4RESPONSABLE INTERNO DEL FICHERO......................................................................................8 5RESPONSABLE DE SEGURIDAD....................................................................................................9 6USUARIOS CON ACCESO A DATOS PERSONALES....................................................................10 CAPTULO 3: MEDIDAS, NORMAS Y PROCEDIMIENTOS DE SEGURIDAD...........................13 7RGIMEN DE TRABAJO FUERA DE LOS LOCALES DE UBICACIN DEL FICHERO..................13 8FICHEROS TEMPORALES............................................................................................................14 9IDENTIFICACIN Y AUTENTICACIN DE USUARIOS, CONTROL DE ACCESO LGICO..........14 9.1Nivel bsico.......................................................................................................................14 9.2Nivel medio.......................................................................................................................15 10GESTIN DE CONTRASEAS....................................................................................................15 10.1Nivel bsico.....................................................................................................................15 11GESTIN DE SOPORTES...........................................................................................................15 11.1Nivel bsico.....................................................................................................................15 11.2Nivel medio.....................................................................................................................16 11.3Nivel alto.........................................................................................................................16 12 GESTIN DE INCIDENCIAS.......................................................................................................17 12.1Nivel bsico.....................................................................................................................17 12.2Nivel medio.....................................................................................................................17 13COPIAS DE RESPALDO Y RECUPERACIN DE DATOS...........................................................18 13.1Nivel bsico.....................................................................................................................18 13.2Nivel alto.........................................................................................................................18
FECHA 07/12/2004
PGINA 2 DE 38
COMPANY, S.L.
DOCUMENTO DE SEGURIDAD
14CONTROL DE ACCESO FSICO..................................................................................................18 14.1Nivel medio.....................................................................................................................18 15PRUEBAS CON DATOS REALES................................................................................................18 15.1Nivel medio.....................................................................................................................18 16REGISTRO DE ACCESOS...........................................................................................................19 16.1Nivel alto.........................................................................................................................19 17TRANSMISIN DE DATOS A TRAVS DE REDES DE COMUNICACIONES..............................19 17.1Nivel alto.........................................................................................................................19 CAPTULO 4: ESTRUCTURA DE LOS FICHEROS Y DESCRIPCIN DE LOS SISTEMAS DE INFORMACIN QUE LOS TRATAN..........................................................................................20 CAPTULO 5: CONTROLES PERIDICOS PARA VERIFICAR EL CUMPLIMIENTO Y LA VIGENCIA DEL DOCUMENTO....................................................................................................................21 18CONTROLES PERIDICOS.........................................................................................................21 19AUDITORAS................................................................................................................................21 20ACTUALIZACIN Y REVISIN DEL DOCUMENTO.....................................................................22 CAPTULO 6: ANEXOS..............................................................................................................23 21ANEXO A: RESUMEN DEL REGLAMENTO DE MEDIDAS DE SEGURIDAD...............................24 22ANEXO B: MBITO DE APLICACIN MATERIAL .......................................................................26 23ANEXO C: ASIGNACIN DE FUNCIONES Y OBLIGACIONES....................................................27 24ANEXO D: AUTORIZACIN PARA LA EJECUCIN DE TRATAMIENTOS DE DATOS FUERA DE LOS LOCALES DE UBICACIN DEL FICHERO / AUTORIZACIN PARA LA SALIDA DE SOPORTES......................................................................................................................................28 25ANEXO E: RELACIN DE USUARIOS CON ACCESO A DATOS PERSONALES.......................30 26ANEXO F: MODELO DE REGISTRO DE ENTRADA Y SALIDA DE SOPORTES.........................31 27ANEXO G: CATLOGO DE INCIDENCIAS DE SEGURIDAD LOPD.............................................32 28ANEXO H: MODELO DE COMUNICACIN DE INCIDENCIAS.....................................................34 29ANEXO I: MODELO DE REGISTRO DE INCIDENCIAS................................................................35 30ANEXO J: RELACIN DE USUARIOS AUTORIZADOS PARA ACCEDER A LOS LOCALES DE UBICACIN DEL FICHERO.............................................................................................................36 31ANEXO K: ESTRUCTURA DE LOS FICHEROS / DESCRIPCIN DEL SISTEMA DE INFORMACIN................................................................................................................................37 32ANEXO L: INVENTARIO DE EQUIPOS QUE TRATAN LOS FICHEROS......................................38
FECHA 07/12/2004
PGINA 3 DE 38
COMPANY, S.L.
DOCUMENTO DE SEGURIDAD
Captulo 1: Introduccin
1 INTRODUCCIN
El Documento de Seguridad surge como una exigencia de la normativa sobre proteccin de datos de carcter personal, en particular del Artculo 8 del Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan datos de carcter personal 1. El Documento de Seguridad se trata de un documento de obligado cumplimiento para todo el personal con acceso a los datos de carcter personal y a los sistemas de informacin, que recoge la normativa de seguridad en lo que respecta al tratamiento de datos de carcter personal, plasmando los principios tcnicos y organizativos seguidos por COMPANY en la implantacin de las medidas de seguridad que afectan a los ficheros que contienen datos personales. El presente Documento se articula como un cuerpo general, desarrollado por anexos que conteniendo aquella informacin de contenido de carcter cambiante o dinmico, facilitando de esta forma la actualizacin del Documento, tal y como exige la normativa. Para la mejor comprensin del Documento, se adjunta un cuadro resumen del Reglamento de Medidas de Seguridad y de las medidas de seguridad que ste obliga a implementar en el ANEXO A.
MBITO DE APLICACIN
2.1
MBITO SUBJETIVO
Todas las personas, sea cual sea la relacin que les une a COMPANY (personal laboral, personal externo, personal de otras empresas del Grupo...), que tengan acceso a los datos personales, bien a travs del sistema informtico habilitado para acceder a los mismos, o bien a travs de cualquier otro medio automatizado de acceso a los mismos (en adelante usuarios), se encuentran obligadas a cumplir con lo establecido en este Documento y en los procedimientos que lo desarrollan (en la medida en que les sean aplicables), estando sujetas a las consecuencias en que pudieran incurrir en caso de incumplimiento. Una copia en papel del Apartado 7, referente a sus funciones y obligaciones de este Documento, ser entregada para su conocimiento a cada persona autorizada a acceder a datos de carcter personal, siendo requisito obligatorio para poder acceder a esos datos el haber recibido la misma. Asimismo, los usuarios con acceso a datos personales son informados de la existencia del Documento de Seguridad, su finalidad y contenido.
Real Decreto 994/1999 de 11 de junio (en adelante, Reglamento de Medidas de Seguridad). FECHA 07/12/2004 PGINA 4 DE 38
COMPANY, S.L.
DOCUMENTO DE SEGURIDAD
2.2 MBITO MATERIAL
El mbito material viene dado por los ficheros y/o aplicaciones que tratan datos personales, abarcando los sistemas que de alguna forma participan en el almacenamiento o tratamiento de dichos ficheros. Asimismo, para proteger los mismos es necesario atender a aquellos recursos que pueden servir de medio directo o indirecto para acceder a dichos ficheros. Sistemas informticos o aplicaciones que los tratan. Los servidores y el entorno de sistema operativo y de comunicaciones en el que se encuentran ubicados los ficheros. Centros de almacenamiento y locales donde se encuentren ubicados los ficheros o se almacenen los soportes que los contengan. Puestos de trabajo, bien locales o remotos, desde los que se pueda tener acceso a ficheros que contengan datos de carcter personal.
La lista de los ficheros automatizados se encuentra recogida en una tabla en el ANEXO B. Dicha tabla recoge el nombre del fichero, la descripcin de la finalidad del mismo y el nivel de seguridad asignado atendiendo al tipo de datos tratados.
FECHA 07/12/2004
PGINA 5 DE 38
COMPANY, S.L.
DOCUMENTO DE SEGURIDAD
Los usuarios con acceso a datos personales debern conocer a qu personas les han sido asignadas dichas responsabilidades, en relacin a los ficheros a los que acceden para el desarrollo de sus funciones.
FECHA 07/12/2004
PGINA 6 DE 38
COMPANY, S.L.
DOCUMENTO DE SEGURIDAD
3 RESPONSABLE DEL FICHERO
Como se ha indicado, el Responsable del Fichero es la persona fsica o jurdica, de naturaleza pblica o privada, u rgano administrativo que decide sobre la finalidad, contenido y uso del tratamiento. El Responsable del Fichero ser el responsable ltimo que responda del cumplimiento de las obligaciones que figuran a continuacin. Esto ser sin perjuicio de que algunas de estas obligaciones sean delegadas en los Responsables Internos de los Ficheros con la correspondiente responsabilidad, en su caso, a nivel interno. El Responsable del Fichero deber cumplir con las obligaciones que le impone la LOPD y resto de normativa aplicable. Asimismo, y en lo que a la seguridad de datos respecta, deber cumplir con las siguientes obligaciones: 1. Autorizar la ejecucin del tratamiento de datos personales fuera de los locales de la ubicacin del fichero. 2. Elaborar e implantar el Documento de Seguridad. 3. Adoptar las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones as como las consecuencias en que pudiera incurrir en caso de incumplimiento. 4. Mantener una relacin actualizada de usuarios que tengan acceso autorizado al sistema de informacin y establecer procedimientos de identificacin y autenticacin para dicho acceso. 5. Establecer mecanismos para evitar que un usuario pueda acceder a datos o recursos con derechos distintos de los autorizados. 6. Determinar los criterios para conceder, alterar o anular el acceso autorizado sobre datos y recursos. 7. Autorizar la salida de soportes informticos que contengan datos personales fuera de los locales en los que est ubicado el fichero. 8. Verificar la correcta aplicacin y definicin de los procedimientos de copias de respaldo y recuperacin de datos. 9. Designar a uno o varios Responsables de Seguridad. 10. Adoptar las medidas correctoras adecuadas consecuencia del informe de la auditora bienal.. 11. Establecer mecanismos que permitan la identificacin de forma inequvoca y personalizada de todo aquel usuario que intente acceder al sistema de informacin y la verificacin de que est autorizado. 12. Autorizar por escrito la realizacin de los procedimientos de recuperacin de los datos. FECHA 07/12/2004 PGINA 7 DE 38
COMPANY, S.L.
DOCUMENTO DE SEGURIDAD
El Responsable Interno del Fichero es una figura que asume a nivel interno algunas de las obligaciones que la normativa impone al Responsable del Fichero y que por tanto de no ser asignadas a una persona fsica, de difcil realizacin o cumplimiento. El Responsable del Fichero, tal y como se ha indicado, seguir siendo el responsable del cumplimiento de las obligaciones a efectos legales. Cada fichero puede tener asignado uno o varios Responsables Internos, el cual debe asumir en relacin con los datos de los que son responsables, las funciones detalladas a continuacin. Algunas de esas funciones son desarrolladas conjuntamente por el Responsable Interno y por el Responsable de Seguridad, para lo cual debern coordinarse. Cabe destacar que no todas las funciones que la normativa asigna al Responsable del Fichero, pueden ser asumidas por los Responsables Internos. 1. Autorizar la ejecucin del tratamiento de datos personales fuera de los locales de la ubicacin del fichero. 2. Colaborar con el Responsable de Seguridad en la elaboracin, actualizacin y revisin del Documento de Seguridad, en la parte que concierne a los ficheros de su responsabilidad. 3. Adoptar las medidas necesarias para que el personal a su cargo conozca las normas de seguridad que afectan al desarrollo de sus funciones as como las consecuencias en que pudiera incurrir en caso de incumplimiento. 4. Mantener una relacin actualizada de usuarios que tengan acceso autorizado al sistema de informacin y establecer procedimientos de identificacin y autenticacin para dicho acceso. Para ello ser necesaria la colaboracin del Responsable de Seguridad. 5. Establecer mecanismos para evitar que un usuario pueda acceder a datos o recursos con derechos distintos de los autorizados. Para ello ser necesaria la colaboracin del Responsable de Seguridad. 6. Determinar los criterios para conceder, alterar o anular el acceso autorizado sobre datos y recursos de su responsabilidad. 7. Autorizar o denegar el acceso a la informacin por parte de los usuarios, de acuerdo a los criterios de acceso definidos, con el fin de evitar que un usuario pueda acceder a datos o recursos con derechos distintos de los autorizados. 8. Autorizar la salida de soportes informticos que contengan datos personales fuera de los locales en los que est ubicado el fichero, en los supuestos de salidas de soportes puntuales o que no respondan a la prestacin peridica de un servicio de carcter informtico.
FECHA 07/12/2004
PGINA 8 DE 38
COMPANY, S.L.
DOCUMENTO DE SEGURIDAD
9. Verificar la correcta aplicacin y definicin de los procedimientos de copias de respaldo y recuperacin de datos. Para ello ser necesaria la colaboracin del Responsable de Seguridad. 10. Coordinarse con el/los Responsable/s de Seguridad para el desarrollo de sus funciones, participando, si procede, en su designacin. 11. Adoptar las medidas correctoras adecuadas que le sean comunicadas consecuencia del informe de la auditora bianual de las medidas de seguridad del Reglamento. Para ello ser necesaria la colaboracin del Responsable de Seguridad. 12. Establecer mecanismos que permitan la identificacin de forma inequvoca y personalizada de todo aquel usuario que intente acceder al sistema de informacin y la verificacin de que est autorizado. Para ello ser necesaria la colaboracin del Responsable de Seguridad. 13. Autorizar por escrito la realizacin de los procedimientos de recuperacin de los datos. 14. Asegurarse, en el caso de prestaciones de servicios que impliquen el tratamiento de datos por parte de empresas externas, de que se ha celebrado un contrato de prestacin de servicios en los trminos del Artculo 12 de la LOPD o comunicar al rea competente dicha circunstancia para que tome las medidas oportunas. 15. Clasificar la informacin de acuerdo a su sensibilidad y aprobar los niveles de proteccin de la misma. Esta clasificacin inicial ayudar a definir y delimitar las medidas de seguridad a implantar. 16. Todas otras aquellas impuestas por los procedimientos o normas de seguridad que sean aplicables.
RESPONSABLE DE SEGURIDAD
La figura del Responsable de Seguridad es exigible nicamente para aquellos ficheros clasificados como nivel medio y alto, ahora bien, su designacin es conveniente en todo caso para una eficaz aplicacin de la normativa. Ser el encargado de coordinar y controlar las medidas definidas en el Documento de Seguridad y los procedimientos de seguridad. El Responsable de Seguridad es la/s persona/s a las que el Responsable del Fichero ha asignado formalmente la funcin de coordinar y controlar las medidas de seguridad aplicables. El Responsable de Seguridad deber coordinarse con los Responsables Internos para un eficaz cumplimiento de la normativa. En particular, el Responsable de Seguridad tiene como funciones: 1. Analizar los informes de la auditora bienal de las medidas de seguridad del Reglamento, elevando las conclusiones al rgano o cargo competente.
FECHA 07/12/2004
PGINA 9 DE 38
COMPANY, S.L.
DOCUMENTO DE SEGURIDAD
2. Comunicar a los Responsables Internos las medidas correctoras adecuadas consecuencia del informe de la auditora bienal que stos deban implantar, colaborando si es necesario en la implantacin de las mismas. 3. Para los ficheros de nivel alto, controlar los mecanismos que permitan el registro de accesos, revisar peridicamente la informacin de control registrada y elaborar un informe de las revisiones realizadas y los problemas detectados al menos una vez al mes. 4. Elaborar e implantar el Documento de Seguridad con la colaboracin los Responsables Internos de Ficheros, en lo referente a los contenidos relativos a los ficheros de su responsabilidad. 5. Adoptar las medidas necesarias para que el personal a su cargo conozca las normas de seguridad que afecten al desarrollo de sus funciones as como las consecuencias en que pudiera incurrir en caso de incumplimiento. 6. Determinar los criterios para conceder, alterar o anular el acceso autorizado sobre datos y recursos de su responsabilidad. 7. Colaborar con el Responsable Interno del Fichero en el mantenimiento de una relacin actualizada de usuarios que tengan acceso autorizado al sistema de informacin y establecer procedimientos de identificacin y autenticacin para dicho acceso. 8. Mantener una relacin actualizada de usuarios que tengan acceso autorizado al sistema de informacin y establecer procedimientos de identificacin y autenticacin para dicho acceso en aquellos ficheros o sistemas de su responsabilidad. 9. Colaborar con el Responsable Interno del Fichero en el establecimiento de mecanismos para evitar que un usuario pueda acceder a datos o recursos con derechos distintos de los autorizados. 10. Colaborar con el Responsable Interno del fichero en el establecimiento de mecanismos que permitan la identificacin de forma inequvoca y personalizada de todo aquel usuario que intente acceder al sistema de informacin y la verificacin de que est autorizado. 17. Autorizar la salida de soportes informticos que contengan datos personales fuera de los locales en los que est ubicado el fichero, en los supuestos de salidas de soportes que respondan a la prestacin peridica de un servicio de carcter informtico. 11. Todas otras aquellas impuestas por los procedimientos o normas de seguridad que sean aplicables.
A continuacin se recogen las funciones y obligaciones para todo el personal con acceso a datos personales. Dichas funciones y obligaciones son entregadas por escrito a todo el personal (tanto interno como externo), en el momento de solicitar su acceso a datos personales, para su lectura y comprensin. FECHA 07/12/2004 PGINA 10 DE 38
COMPANY, S.L.
DOCUMENTO DE SEGURIDAD
Dichos deberes y responsabilidades se extienden a todo tipo de datos de carcter personal registrados en cualquier tipo de soporte fsico que los haga susceptibles de tratamiento (incluyendo soporte papel), en la medida en que sean aplicables. SECRETO PROFESIONAL 1. El usuario est obligado a guardar el secreto profesional respecto a los datos personales que conozca en el desempeo de sus funciones incluso despus de finalizar sus relaciones con COMPANY . RESPONSABILIDAD POR EL USO DE IDENTIFICADORES Y CONTRASEAS 2. El usuario es responsable de la custodia de forma diligente de su clave de acceso, para evitar que otras personas puedan suplantar su identidad accediendo de forma no autorizada a datos personales. Las contraseas elegidas debern contener trminos fcilmente memorizables por los usuarios. En la medida de lo posible para formar una contrasea se buscarn palabras que contengan letras que estn a ambos lados del teclado para mejorar la rapidez de tecleo, evitar fallos y dificultar la visin de la contrasea por alguna persona.
3.
4. A la hora de elegir contraseas no debern elegirse trminos relacionados con el usuario, tales como nombre, apellidos, DNI, datos familiares, puesto o departamento, etc. COMUNICACIN DE LAS INCIDENCIAS DE SEGURIDAD 5. El usuario tiene obligacin de comunicar inmediatamente cualquier anomala que pudiera afectar a la seguridad de los datos personales. Para la comunicacin de las incidencias de seguridad, se contactar por telfono o por correo electrnico con el Responsable de Seguridad. En los supuestos en que sea necesario recuperar datos de algn fichero de nivel medio o alto, la recuperacin de datos se tramitar como una incidencia de seguridad, debiendo ser comunicada asimismo al Responsable de Seguridad por telfono o por correo electrnico.
6.
RESPONSABILIDAD POR EL USO DE DATOS PERSONALES 7. El usuario acceder slo a los datos personales necesarios para el ejercicio de sus funciones y limitarse a realizar con dichos datos las funciones propias de su puesto. Los usuarios sern responsables de la utilizacin lcita de los datos personales a los que tengan acceso, actuando conforme a las instrucciones del Responsable del Fichero. En caso de tener duda sobre la correccin de algn tratamiento o actuacin, debern consultarlo previamente con el Responsable Interno del Fichero, quien trasladaran dicha consulta, si lo estima necesario, al Responsable de Seguridad. Los usuarios salvarn la informacin que contenga datos personales en los discos de red y no en sus puestos de trabajo. Se prohbe el almacenamiento de datos personales en discos locales.
8.
9.
FECHA 07/12/2004
PGINA 11 DE 38
COMPANY, S.L.
DOCUMENTO DE SEGURIDAD
10. Los usuarios no realizarn extracciones de datos personales a no ser que sea estrictamente necesario para la operativa de sus funciones. En el caso de que necesiten realizar extracciones de datos para la realizacin de sus tareas, solicitarn una autorizacin por correo electrnico al Responsable Interno del Fichero, quien les indicar si es procedente y el directorio de destino, en su caso. 11. En el caso de que sea necesario la creacin de ficheros temporales que contengan datos personales debern ser borrados una vez hayan dejado de ser tiles para la finalidad que fueron creados. 12. Slo se almacenarn datos personales en soportes en aquellos casos en los que sea estrictamente necesario para el desarrollo de las funciones. En el caso de que sea necesario, solicitarn una autorizacin por correo electrnico al Responsable Interno del Fichero, quien les indicar si es procedente.
CONFIDENCIALIDAD DE LA INFORMACIN 13. Se dirigirn a impresoras protegidas los listados que contengan datos de carcter personal que requieran proteccin, y sern recogidos con celeridad para evitar su difusin, copia o sustraccin. 14. Las pantallas, as como las impresoras u otro tipo de dispositivos conectados al puesto de trabajo, debern estar fsicamente ubicados en lugares que garanticen la confidencialidad. 15. Cuando el responsable de un puesto de trabajo lo abandone temporalmente, deber dejarlo en un estado que impida la visualizacin de los datos protegidos. Esto podr realizarse mediante la utilizacin de un protector de pantalla que impida la visualizacin de los datos. La reanudacin del trabajo implicar la desactivacin del protector de pantalla mediante la introduccin de una contrasea. 16. Los usuarios no intentarn transgredir ningn control de proteccin establecido. 17. No est permitido sacar equipos o soportes de las instalaciones sin la autorizacin necesaria. 18. Salvo autorizacin expresa del Responsable de Seguridad, queda expresamente prohibida la conexin a redes o sistemas exteriores de los puestos de trabajo desde los que se realiza el acceso al fichero. Asimismo, queda prohibida la conexin de equipos porttiles a los sistemas de COMPANY , salvo autorizacin expresa.
FECHA 07/12/2004
PGINA 12 DE 38
COMPANY, S.L.
DOCUMENTO DE SEGURIDAD
3.
4.
Cuando se vaya a producir un tratamiento de datos fuera del lugar de ubicacin del fichero y antes de firmar la correspondiente autorizacin, el Responsable Interno del Fichero debe valorar si se trata de una cesin o prestacin de servicios, y se garantice mediante contrato el nivel de seguridad de los datos correspondiente al tipo de datos tratados. FECHA 07/12/2004 PGINA 13 DE 38
COMPANY, S.L.
DOCUMENTO DE SEGURIDAD
Posteriormente el Responsable Interno del fichero cumplimenta y firma en formato papel la autorizacin, enviando dicha autorizacin al Responsable de Seguridad para que ste lo almacene en un lugar seguro. El ANEXO D, recoge el modelo de autorizacin a cumplimentar por el Responsable Interno del Fichero. En el caso de tratarse de envos de datos continuados podr firmarse una autorizacin genrica.
FICHEROS TEMPORALES
Los ficheros temporales debern cumplir el nivel de seguridad que les corresponda de acuerdo a los criterios establecidos en el Reglamento de Medidas de Seguridad. Todo fichero temporal ser borrado una vez haya dejado de ser necesario para los fines que motivaron su creacin.
9.1
NIVEL BSICO
El Responsable Interno del Fichero y el Responsable de Seguridad, de manera conjunta, se encargan de que exista una relacin actualizada de usuarios con acceso autorizado al sistema de informacin y de que existan procedimientos de identificacin y autenticacin para dicho acceso. Para cada uno de los ficheros que tratan datos personales, el ANEXO E indica la relacin de usuarios para cada uno de los ficheros.
FECHA 07/12/2004
PGINA 14 DE 38
COMPANY, S.L.
DOCUMENTO DE SEGURIDAD
9.2 NIVEL MEDIO
Se han implantado mecanismos que garantizan que los usuarios que acceden a los ficheros que tratan datos personales son identificados y autenticados de forma inequvoca y personalizada, evitando el empleo de usuarios genricos. Se limita la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informacin.
10 GESTIN DE CONTRASEAS
10.1 NIVEL BSICO
En los casos en los que el mecanismo de autenticacin utilizado sea el uso de contraseas debern tenerse en cuenta los siguientes aspectos. Las contraseas tendrn una longitud mnima de 7 caracteres, sern alfanumricas y de fcil memorizacin de manera que no haya necesidad de consultar anotaciones. Asimismo quedan prohibidas las contraseas que se puedan deducir de datos conocidos tales como apodos, nombres de familiares, fechas de nacimiento, DNI... Las contraseas debern cambiarse con una periodicidad adecuada en funcin de los recursos a los que permita acceder. Con carcter general, las contraseas se cambiarn con una periodicidad de 90 das. Cualquier conocimiento o sospecha de que la confidencialidad de la contrasea se ha visto comprometida deber ser comunicada inmediatamente para que dicha clave sea inutilizada y asigne una nueva al usuario. Una vez creada la contrasea, sta deber comunicarse al usuario mediante un procedimiento que garantice la confidencialidad. Por ello quedan especialmente prohibidas las comunicaciones susceptibles de interceptacin, tales como fax o correo electrnico sin cifrar. Se recomienda la comunicacin de contraseas mediante correo cifrado. En su defecto, comunicacin personal o por telfono. Las contraseas se almacenan de forma ininteligible.
11 GESTIN DE SOPORTES
A efectos del presente Documento de Seguridad, se entiende por soporte cualquier objeto fsico susceptible de ser tratado en un sistema de informacin y sobre el cual se puedan grabar o recuperar datos.
COMPANY, S.L.
DOCUMENTO DE SEGURIDAD
Todos los soportes que contienen datos de carcter personal, permiten identificar externa o internamente el tipo de informacin que contienen, ser inventariados y almacenarse en un lugar con acceso restringido al personal autorizado para ello. Los soportes son almacenados en lugares seguros con acceso restringido a personal autorizado, siendo conservados en cmaras ignfugas. La salida de soportes informticos que contengan datos de carcter personal fuera de los locales de ubicacin del fichero slo puede ser autorizada por el Responsable Interno del Fichero del cual se vayan a sacar datos o por el Responsable de Seguridad. No se debe realizar la salida de soportes hasta que el Responsable Interno o el Responsable de Seguridad lo haya autorizado. El ANEXO D, recoge el modelo de autorizacin para la salida de soportes que contengan datos personales.
En el ANEXO F se recoge un modelo de registro de entrada o salida de soportes. Cuando un soporte vaya a ser desechado o reutilizado debern adoptarse las medidas necesarias para impedir cualquier recuperacin posterior de la informacin almacenada en l, antes de proceder a su baja en el inventario. Cuando un soporte va a ser desechado se formatea el mismo y se procede a su destruccin fsica. En el caso de que deban salir soportes fuera de los locales de ubicacin del fichero como consecuencia de operaciones de mantenimiento se adoptarn las medidas necesarias para impedir cualquier recuperacin indebida de la informacin almacenada en ellos.
COMPANY, S.L.
DOCUMENTO DE SEGURIDAD
mecanismo que garantice que dicha informacin no sea inteligible ni manipulable por terceros durante su transporte.
12 GESTIN DE INCIDENCIAS
A efectos del presente Documento, se considera una incidencia cualquier anomala que afecte o pudiera afectar a la seguridad de los datos, entendida bajo sus tres vertientes: confidencialidad, integridad y disponibilidad. En el ANEXO G se recoge un catlogo de las incidencias consideradas como incidencias de seguridad LOPD.
FECHA 07/12/2004
PGINA 17 DE 38
COMPANY, S.L.
DOCUMENTO DE SEGURIDAD
COMPANY, S.L.
DOCUMENTO DE SEGURIDAD
Existen controles en cuanto al volcado de datos reales procedentes de entornos de produccin a entornos de pruebas.
16 REGISTRO DE ACCESOS
16.1 NIVEL ALTO
Para aquellos ficheros clasificados como nivel alto, existe un registro de accesos en cual permite guardar de cada acceso: 1. 2. 3. 4. 5. Identificacin del usuario Fecha y hora en que se realiz Fichero accedido Tipo de acceso Si ha sido autorizado o denegado
El Responsable de Seguridad tiene control directo sobre dichos mecanismos, no estando permitida la desactivacin de los mismos. Asimismo, dicha informacin es revisada peridicamente y se elabora un informe de las revisiones realizadas y los problemas detectados con carcter mensual.
FECHA 07/12/2004
PGINA 19 DE 38
COMPANY, S.L.
DOCUMENTO DE SEGURIDAD
Captulo 4: Estructura de los ficheros y descripcin de los sistemas de informacin que los tratan
El presente Captulo recoge la estructura de datos de los ficheros que tratan datos personales objeto del presente Documento. A su vez contiene una remisin al entorno que los trata. El ANEXO K recoge la estructura de datos de los ficheros y una breve descripcin del sistema de informacin que los tratan. El ANEXO L recoge el inventario de equipos que tratan los ficheros.
FECHA 07/12/2004
PGINA 20 DE 38
COMPANY, S.L.
DOCUMENTO DE SEGURIDAD
19 AUDITORAS
Con la finalidad de dar cumplimiento al Artculo 17 del Reglamento de Medidas de Seguridad y para aquellos ficheros considerados como nivel medio y alto, los sistemas de informacin e instalaciones de tratamiento de datos se sometern a una auditora que verifique el cumplimiento del Reglamento, al menos, con carcter bienal. Los informes de auditora sern analizados por el Responsable de Seguridad que elevar las conclusiones al Responsable del Fichero para que adopte las medidas correctoras adecuadas, quedando a disposicin de la Agencia de Proteccin de Datos.
FECHA 07/12/2004
PGINA 21 DE 38
DOCUMENTO DE SEGURIDAD
20 ACTUALIZACIN Y REVISIN DEL DOCUMENTO
El Reglamento de Medidas de Seguridad establece la obligacin de mantener el Documento actualizado en todo momento y revisarlo siempre que se produzcan cambios relevantes en el sistema de informacin o en la organizacin del mismo. Por ello, se debe verificar y actualizar peridicamente todo lo expuesto en el Documento para comprobar que efectivamente est siendo cumplimentado o actualizado despus de cada una de las nuevas implantaciones de sistemas o procesos de seguridad, o tras la realizacin de modificaciones en los ficheros y/o sistemas que requieran su actualizacin. En el caso de que se creen, modifiquen o supriman ficheros que contengan datos personales que sean (en el caso de la modificacin o supresin) o deban ser (en el caso de la creacin) objeto del presente Documento, se debern actualizar en consecuencia todos los Anexos. En particular se deber: Mantener actualizada la lista de ficheros que tratan datos de carcter personal, mediante la modificacin del ANEXO B (mbito de aplicacin material), en el caso de que se creen, modifiquen o supriman ficheros que tratan datos de carcter personal. Para la realizacin de esta actividad ser necesaria la colaboracin del Departamento Jurdico y del Responsable Interno del Fichero, o persona en quien este delegue, en el caso de que se produzcan modificaciones en los ficheros. Mantener actualizada la lista de asignacin de funciones y obligaciones contenida en el ANEXO C (en especial la lista de Responsables Internos de Ficheros). Esto ocurrir en el caso de que se produzca uno de los cambios mencionados en el apartado anterior, se produzcan cambios organizativos, o en el caso de que la persona que figure como responsable cambie de funciones o cause baja en la organizacin. Para la realizacin de esta actividad ser necesaria la colaboracin del Departamento Jurdico. Asimismo, mantener actualizada la estructura de ficheros del ANEXO K, anotando todos aquellos cambios realizados en los sistemas de informacin que pudieran suponer un cambio en la misma. Mantener actualizada la descripcin de los sistemas de informacin que los tratan / ruta de acceso a la relacin actualizada de usuarios, anotando todos aquellos cambios realizados en los sistemas de informacin que pudieran suponer un cambio en cualquiera de estos dos aspectos.
FECHA 07/12/2004
PGINA 22 DE 38
DOCUMENTO DE SEGURIDAD
Captulo 6: Anexos
A continuacin se recogen los Anexos al Documento de Seguridad, los cuales debern ser actualizados peridicamente. ANEXO A: Resumen del Reglamento de Medidas de Seguridad. ANEXO B: mbito de aplicacin material. ANEXO C: Asignacin de funciones y obligaciones. ANEXO D: Modelo de autorizacin para la ejecucin de tratamientos fuera de los locales de ubicacin del fichero / Autorizacin para la salida de soportes que contengan datos personales. ANEXO E: Relacin de usuarios con acceso a datos personales. ANEXO F: Modelo de registro de entrada y salida de soportes. ANEXO G: Catlogo de Incidencias de seguridad LOPD. ANEXO H: Modelo de comunicacin de incidencias. ANEXO I: Modelo de registro de incidencias. ANEXO J: Relacin de usuarios autorizados para acceder a los Centros de Proceso de Datos. ANEXO K: Estructura de los ficheros y descripcin de los sistemas de informacin que los tratan. ANEXO L: Inventario de equipos que tratan los ficheros.
FECHA 07/12/2004
PGINA 23 DE 38
DOCUMENTO DE SEGURIDAD
MEDIDAS DE SEGURIDAD NIVEL ALTO
Responsable de seguridad Auditora bianual Control de acceso fsico Pruebas con datos reales Medidas de seguridad de nivel bsico y medio Gestin de soportes (medidas adicionales) Copias de respaldo y recuperacin (medidas adicionales)
FECHA 07/12/2004
PGINA 24 DE 38
DOCUMENTO DE SEGURIDAD
INFRACCIONES
Registro de accesos Telecomunicaciones La falta de aplicacin de las medidas de seguridad constituye una falta grave.
FECHA 07/12/2004
PGINA 25 DE 38
DOCUMENTO DE SEGURIDAD
N
1. 2. 3. 4. 5. 6.
FICHERO
DESCRIPCIN
NIVEL SEG.
FECHA 07/12/2004
PGINA 26 DE 38
DOCUMENTO DE SEGURIDAD
23 ANEXO C: OBLIGACIONES
ASIGNACIN
DE
FUNCIONES
N
1. 2. 3. 4. 5. 6.
FICHERO
RESPONSABLE INTERNO
RESPONSABLE DE SEGURIDAD
FECHA 07/12/2004
PGINA 27 DE 38
DOCUMENTO DE SEGURIDAD
24 ANEXO D: AUTORIZACIN PARA LA EJECUCIN DE TRATAMIENTOS DE DATOS FUERA DE LOS LOCALES DE UBICACIN DEL FICHERO / AUTORIZACIN PARA LA SALIDA DE SOPORTES
DATOS DE CONTROL
Descripcin del tratamiento a realizar Cesin de datos Prestacin de servicios de carcter informtico
Categora
Otras prestaciones de servicios (Indicar) Fecha del contrato Ubicacin del contrato
Si se trata de una prestacin de servicios Contenido de la informacin a tratar fuera de los locales de ubicacin del fichero Ficheros de procedencia de los datos a tratar Responsable de/los fichero/s de procedencia
FINALIDAD Y DESTINO
Finalidad del tratamiento Destino Destinatario
FORMA DE ENVO
Medio de envo Remitente
AUTORIZACIN
Persona/s que autoriza/n Cargo Tipo autorizacin Puntual Genrica
Observaciones Fecha
FECHA 07/12/2004
PGINA 28 DE 38
DOCUMENTO DE SEGURIDAD
Fdo.
FECHA 07/12/2004
PGINA 29 DE 38
DOCUMENTO DE SEGURIDAD
N
1.
FICHERO
USUARIOS
DEPARTAMENTO
2.
3.
4.
5.
6.
FECHA 07/12/2004
PGINA 30 DE 38
DOCUMENTO DE SEGURIDAD
SOPORTE
Cdigo del inventario Tipo de soporte Tipo de informacin que contiene
FORMA DE ENVO
Medio de envo
Fdo.
FECHA 07/12/2004
PGINA 31 DE 38
DOCUMENTO DE SEGURIDAD
CATLOGO DE INCIDENCIAS
Fallos en la gestin / custodia de soportes Robo de equipos o soportes Prdida de equipos o soportes Salida no autorizada de soportes Salida no autorizada de equipos Distribucin de soportes con datos de nivel alto sin cifrar Recuperacin de datos de soportes desechados o destinados a ser reutilizados Uso de dispositivos de almacenamiento externo por personal no autorizado Otros (especificar) Fallos en controles de acceso fsico Acceso a CPD de personal no autorizado Bajas de personal de CPD o cambio de funciones no comunicadas Prdida de llaves o tarjetas de acceso Vulneracin de los controles de acceso fsico Otros (especificar) Fallos en los controles de administracin de usuarios Deteccin de bajas no comunicadas Deteccin de cambios de funciones o departamento no comunicados Deteccin de la utilizacin de usuarios genricos (nivel medio y alto) Deteccin de la creacin de usuarios sin autorizacin del Responsable Interno del Fichero Deteccin de violaciones del principio de mnimo privilegio Otros (especificar) Fallos en los controles de acceso lgico Cesin / comparticin de la clave de acceso Conocimiento de la clave de acceso por usuario no autorizado Violacin de los controles de acceso Robo de sesiones Otros (especificar)
FECHA 07/12/2004
PGINA 32 DE 38
DOCUMENTO DE SEGURIDAD
Revelacin de informacin Copia de informacin no autorizada Borrado de informacin accidental o no autorizado Modificacin de informacin no autorizada Otros (especificar)
Permanencia o no borrado de ficheros temporales una vez finalizada su utilidad Error de dispositivo Error de soporte Recuperacin de datos fallida Otros (especificar)
FECHA 07/12/2004
PGINA 33 DE 38
DOCUMENTO DE SEGURIDAD
28 ANEXO H: INCIDENCIAS
MODELO
DE
COMUNICACIN
DE
DESCRIPCIN DE LA INCIDENCIA
FIRMA RECIB
Fdo.
Fdo.
FECHA 07/12/2004
PGINA 34 DE 38
DOCUMENTO DE SEGURIDAD
EFECTOS
CAUSAS
PROCEDIMIENTOS DE SOLUCIN
Fdo.
FECHA 07/12/2004
PGINA 35 DE 38
DOCUMENTO DE SEGURIDAD
30 ANEXO J: RELACIN DE USUARIOS AUTORIZADOS PARA ACCEDER A LOS LOCALES DE UBICACIN DEL FICHERO
Incluir listado de personas con acceso autorizado a las instalaciones en las que se encuentran los ficheros.
FECHA 07/12/2004
PGINA 36 DE 38
DOCUMENTO DE SEGURIDAD
FICHERO
ESTRUCTURA DE DATOS
SISTEMA DE INFORMACIN
FECHA 07/12/2004
PGINA 37 DE 38
DOCUMENTO DE SEGURIDAD
FICHERO
FECHA 07/12/2004
PGINA 38 DE 38