MODELO DE DOCUMENTO DE SEGURIDAD DE LA EMPRESA

Transcripción

1 MODELO DE DOCUMENTO DE SEGURIDAD DE LA EMPRESA Fecha ultima actualización del Documento de Seguridad Documento Seguridad elaborado por [Responsable Fichero/ Encargado del tratamiento/ Ambos] Versión MODELO DEL DOCUMENTO DE SEGURIDAD 1

2 ÍNDICE 1. ÁMBITO DE APLICACIÓN DEL DOCUMENTO 2. MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS Y ESTÁNDARES ENCAMINADOS A GARANTIZAR LOS NIVELES DE SEGURIDAD EXIGIDOS EN ESTE DOCUMENTO 3. INFORMACION, FUNCIONES Y OBLIGACIONES DEL PERSONAL 4. PROCEDIMIENTOS DE NOTIFICACIÓN, GESTIÓN Y RESPUESTA ANTE LAS INCIDENCIAS 5. GESTIÓN DE SOPORTES 6. PROCEDIMIENTOS DE RESPALDO Y RECUPERACIÓN 7. PROCEDIMIENTOS DE REVISION ANEXOS ANEXO I RESPONSABLE DE SEGURIDAD ANEXO II - DESCRIPCIÓN DE LOS FICHEROS ANEXO III - DESCRIPCIÓN DEL SISTEMA INFORMÁTICO, LOCALES, UBICACIÓN FISICA Y PUESTOS DE TRABAJO ANEXO IV PERSONAL AUTORIZADO PARA ACCEDER A LOS FICHEROS ANEXO V - FUNCIONES Y OBLIGACIONES DEL PERSONAL ANEXO VI - PROCEDIMIENTOS DE CONTROL DE ACCESOS, RESPALDO Y RECUPERACIÓN, Y GESTIÓN ANEXO VII INVENTARIO DE SOPORTES ANEXO VIII - REGISTRO DE INCIDENCIAS ANEXO IX ENCARGADOS DE TRATAMIENTO ANEXO X REGISTRO DE ENTRADA Y SALIDA DE SOPORTES ANEXO XI CONTROLES PERIODICOS Y AUDITORIAS 2

3 INTRODUCCIÓN El RLOPD especifica que se puede disponer de un solo documento que incluya todos los ficheros y tratamientos con datos personales de los que una persona física o jurídica sea responsable, un documento por cada fichero o tratamiento, o los que determine el responsable atendiendo a los criterios organizativos que haya establecido. Cualquiera de las opciones puede ser válida. En este caso se ha optado por el primer tipo, organizando el "documento de seguridad" en dos partes: en la primera se recogen las medidas que afectan a todos los sistemas de información de forma común con independencia del sistema de tratamiento sobre el que se organizan: informatizado, manual o mixto, y en la segunda se incluyen los anexos con la estructura interna de la organización. El presente documento responde a la obligación establecida en el artículo 88 del Real Decreto 1720/2007, de 21 de diciembre por el que se aprueba el Reglamento de Desarrollo de la Ley Orgánica 15/19999, de 13 de diciembre, en el que se regulan entre otras, las medidas de seguridad para los ficheros y tratamientos que contengan datos de carácter personal. El modelo se ha redactado con el objeto de recopilar las exigencias mínimas establecidas por el Reglamento. Es posible y recomendable incorporar cualquier otra medida que se considere oportuna para aumentar la seguridad de los tratamientos, o incluso, adoptar las medidas exigidas para un nivel de seguridad superior al que por el tipo de información les correspondería, teniendo en cuenta la infraestructura y las circunstancias particulares de la organización. Dentro del modelo se utilizarán comentarios aclaratorias marcados en un color diferenciado (azul) que no deberán figurar en el documento final, y deberán desarrollarse para ser aplicados a cada caso concreto. MODELO DE DOCUMENTO DE SEGURIDAD El presente Documento y sus Anexos, redactados en cumplimiento de lo dispuesto en el RLOPD recogen las medidas de índole técnica y organizativa necesarias para garantizar la protección, confidencialidad, integridad y disponibilidad de los recursos afectados por lo dispuesto en el citado Reglamento y en la LOPD. El contenido de este documento queda estructurado como sigue: Ámbito de aplicación del documento. Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar los niveles de seguridad exigidos en este documento. Información, funciones y obligaciones del personal. Procedimientos de notificación, gestión y respuestas ante las incidencias. 3

4 Gestion de soportes. Procedimientos de respaldo y recuperación. Procedimientos de revisión. Además se recogerán los siguientes Anexos: ANEXO I RESPONSABLE DE SEGURIDAD ANEXO II - DESCRIPCIÓN DE LOS FICHEROS ANEXO III - DESCRIPCIÓN DEL SISTEMA INFORMÁTICO, LOCALES, UBICACIÓN FISICA Y PUESTOS DE TRABAJO ANEXO IV PERSONAL AUTORIZADO PARA ACCEDER A LOS FICHEROS ANEXO V - FUNCIONES Y OBLIGACIONES DEL PERSONAL ANEXO VI - PROCEDIMIENTOS DE CONTROL DE ACCESOS, RESPALDO Y RECUPERACIÓN, Y GESTIÓN ANEXO VII INVENTARIO DE SOPORTES ANEXO VIII - REGISTRO DE INCIDENCIAS ANEXO IX ENCARGADOS DE TRATAMIENTO ANEXO X REGISTRO DE ENTRADA Y SALIDA DE SOPORTES ANEXO XI CONTROLES PERIODICOS Y AUDITORIAS 4

5 1.ÁMBITO DE APLICACIÓN DEL DOCUMENTO El presente documento será de aplicación a los ficheros que contienen datos de carácter personal que se hallan bajo la responsabilidad de nombre del responsable, incluyendo los sistemas de información, soportes y equipos empleados para el tratamiento de datos de carácter personal, que deban ser protegidos de acuerdo a lo dispuesto en normativa vigente, las personas que intervienen en el tratamiento y los locales en los que se ubican. En concreto, los ficheros sujetos a las medidas de seguridad establecidas en este documento, con indicación del nivel de seguridad correspondiente, son los siguientes: Incluir relación de ficheros o tratamientos afectados, indicando si se trata de sistemas automatizados, manuales o mixtos, y el nivel de seguridad que les corresponde. En el Anexo I se describen detalladamente cada uno de los ficheros o tratamientos, junto con los aspectos que les afecten de manera particular. Todas las personas que tengan acceso a los datos de los Ficheros, mediante cualquier medio, se encuentran obligadas por ley a cumplir lo establecido en este documento, y sujetas a las consecuencias que pudieran incurrir en caso de incumplimiento. Una copia de este documento, con la parte que le afecte, será entregada, para su conocimiento, a cada persona autorizada a acceder a los datos del Fichero, siendo requisito obligatorio para poder acceder a esos datos el haber firmado la recepción del mismo. Este Documento deberá mantenerse permanentemente actualizado. Cualquier modificación relevante conllevará la revisión de la normativa incluida y, si procede, su modificación total o parcial. 5

6 2. MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS Y ESTÁNDARES ENCAMINADOS A GARANTIZAR LOS NIVELES DE SEGURIDAD EXIGIDOS EN ESTE DOCUMENTO IDENTIFICACIÓN Y AUTENTICACIÓN Medidas y normas relativas a la identificación y autenticación del personal autorizado para acceder a los datos personales. Especificar las normativas de identificación y autenticación de los usuarios con acceso a los datos personales. La identificación de los usuarios se deberá realizar de forma inequívoca y personalizada, verificando su autorización (cada identificación debe pertenecer a un único usuario). Si la autenticación se realiza mediante contraseñas, detallar el procedimiento de asignación, distribución y almacenamiento que deberá garantizar su confidencialidad e integridad, e indicar la periodicidad con la que se deberán cambiar, en ningún caso superior a un año También es conveniente incluir los requisitos que deben cumplir las cadenas utilizadas como contraseña. * En los ficheros automatizados de nivel medio y alto, se limitará la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información CONTROL DE ACCESOS El personal sólo accederá a aquellos datos y recursos que precise para el desarrollo de sus funciones. El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados Especificar cuales son estos mecanismos. Exclusivamente el Responsable de seguridad estará autorizado para conceder, alterar o anular el acceso sobre los datos y los recursos, conforme a los criterios establecidos por el responsable del fichero. Incluir y detallar los controles de acceso a los sistemas de información En el Anexo VI, se incluye la relación de usuarios actualizada con acceso autorizado a cada sistema de información. Asimismo, se incluye el tipo de acceso autorizado para cada uno de ellos. Esta lista deberá mantenerse actualizada. De existir personal ajeno al responsable del fichero con acceso a los recursos deberá estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio. 6

7 A partir del momento mismo del cese o cambio en el puesto de trabajo, se procederá a la actualización de la relación, para que no figure el usuario correspondiente. El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados. Cuando esto último no sea posible, nombrará a la persona que custodiará la documentación para impedir accesos no autorizados. REGISTRO DE ACCESOS En los accesos a los datos de los ficheros de nivel alto, se registrará por cada acceso la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. Si el acceso fue autorizado, se almacenará también la información que permita identificar el registro accedido. Los datos del registro de accesos se conservaran durante especificar periodo, que deberá ser al menos de dos años. El responsable de seguridad revisará al menos una vez al mes la información de control registrada y elaborará un informe según se detalla en el capítulo de Comprobaciones para la realización de la auditoría de seguridad de este documento. No será necesario el registro de accesos cuando: el responsable del fichero es una persona física, el responsable del fichero garantice que sólo él tiene acceso y trata los datos personales, y se haga constar en el documento de seguridad. El acceso a la documentación en soporte papel se limita exclusivamente al personal autorizado. Se establecerán mecanismos que permitan identificar los accesos realizados en el caso de documentos, que puedan ser utilizados por múltiples usuarios. El acceso de personas no incluidas en el párrafo anterior deberá quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad Cuando no sea posible establecer mecanismos, el responsable nombrara a la persona que verificará estos accesos manteniendo un registro de los mismos. PUESTOS DE TRABAJO Son todas aquellas estancias, despachos y mesas de trabajo donde los usuarios realizan el tratamiento habitual de los datos del fichero. 7

8 Cada puesto de trabajo estará bajo la responsabilidad de una persona de las autorizadas, que garantizará que la información que muestra no pueda ser vista por personas no autorizadas. Esto implica que los puestos de trabajo deberán estar físicamente ubicados en lugares que garanticen esa confidencialidad. Cuando el responsable de un puesto de trabajo lo abandone, bien temporalmente o bien al finalizar su turno de trabajo, deberá retirar del puesto de trabajo los soportes de cualquier tipo, documentos, fichas u otros que contengan los datos del fichero, y proceder a guardarlos en su ubicación protegida habitual. El trabajo fuera de los locales del responsable del Fichero o del encargado del tratamiento solo se podrá realizar cuando exista una autorización previa del responsable del Fichero o del encargado del tratamiento, y en todo caso deberá garantizarse el nivel de seguridad correspondiente al tipo de fichero tratado. La autorización podrá establecerse para un usuario o perfil de usuarios y el periodo de validez. ACCESO A DATOS A TRAVÉS DE REDES DE COMUNICACIONES Las medidas de seguridad exigibles a los accesos a los datos de carácter personal a través de redes de comunicaciones, sean o no públicas, garantizarán un nivel de seguridad equivalente al exigido para los accesos en modo local. Los datos personales correspondientes a los ficheros de nivel alto automatizados, que se transmitan a través de redes públicas o inalámbricas de comunicaciones electrónicas se realizará cifrando previamente estos datos. TRASLADO DE DOCUMENTACIÓN Siempre que se proceda al traslado físico de la documentación con datos de nivel Alto en soporte papel contenida en un fichero, deberán adoptarse las siguientes medidas relacionar las medidas necesarias y en su caso alternativas recomendadas, orientadas a impedir el acceso o manipulación de la información objeto de traslado. FICHEROS TEMPORALES O COPIAS DE TRABAJO DE DOCUMENTOS Los ficheros temporales o copias de documentos creados exclusivamente para trabajos temporales o auxiliares, deberán cumplir el nivel de seguridad que les corresponda con arreglo a los criterios expresados en el Reglamento de medidas de seguridad, y serán borrados o destruidos una vez que hayan dejado de ser necesarios para los fines que motivaron su creación. COPIA O REPRODUCCIÓN Aquellos ficheros temporales o copias de documentos que se hubiesen creado 8

9 exclusivamente para la realización de trabajos temporales o auxiliares deberán cumplir el nivel de seguridad que les corresponda conforme a los criterios establecidos en el Reglamento vigente. Todo fichero temporal o copia de trabajo así creado serán destruido una vez que haya dejado de ser necesario para los fines que motivaron su creación. Deberá procederse a la destrucción de las copias o reproducciones desechadas de forma que se evite el acceso a la información contenida en las mismas o su recuperación posterior. La generación de copias o la reproducción de los documentos únicamente podrá ser realizada bajo el control del personal autorizado en el documento de seguridad. RESPONSABLE DE SEGURIDAD Se designa como responsable de seguridad indicarlo/s en el caso de que se prevea que sean varios, que con carácter general se encargará de coordinar y controlar las medidas definidas en este documento de seguridad. En ningún caso, la designación supone una exoneración de la responsabilidad que corresponde al Responsable del Fichero de acuerdo con el RLOPD. El responsable de seguridad desempeñará las funciones encomendadas mientras no se establezca lo contrario o se proceda al nombramiento de un nuevo Responsable. En el Anexo I se encuentran las copias de los nombramientos de responsables de seguridad. CONTROLES PERIÓDICOS Y AUDITORIAS El responsable de del Fichero o la persona autorizada por él, comprobará que la lista de usuarios autorizados, se corresponde con los usuarios realmente autorizados para acceder al Fichero. El responsable del Fichero o la persona autorizada, analizara la información registrada en el registro de incidencias, tomando las medidas oportunas. Los ficheros se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento de las medidas del documento de seguridad Mensualmente, la información de control registrada en el registro de accesos serán supervisados por el responsable de seguridad Los resultados de todos los controles se incluirán en el Anexo X. 9

10 3. INFORMACIÓN, FUNCIONES Y OBLIGACIONES DEL PERSONAL Además del Responsable del fichero, el personal afectado por esta normativa se clasifica en las categorías siguientes: 1. Encargado del tratamiento, es la persona física o jurídica, pública o privada, u órgano administrativo, que solo o conjuntamente con otros, trata datos personales por cuenta del Responsable del fichero, como consecuencia de una relación jurídica descrita en el Anexo A, y cuyo ámbito se delimita en este documento. El tratamiento de los datos del fichero por un Encargado externo estará sometido en todo caso a las mismas medidas de seguridad contempladas en el Reglamento. 2. Usuarios del Fichero, o personal que usualmente accede al Fichero para su tratamiento, y que también deben estar explícitamente relacionados en el Anexo D. 3. Otras personas de empresas ajenas que por motivo de su desempeño profesional, puedan potencialmente tener acceso a la información de carácter personal. Además del personal anteriormente citado existirán uno o varios Responsables de Seguridad cuyas funciones serán las de coordinar y controlar las medidas definidas en este documento, sirviendo al mismo tiempo de enlace con el Responsable del Fichero, sin que esto suponga en ningún caso una delegación de la responsabilidad que corresponde a este último, de acuerdo con el R.D.1720/2007, de 21 de diciembre. Este documento es de obligado cumplimiento para todos ellos. Las funciones y obligaciones del personal están descritas en el Anexo VIII. Respecto a aquellas personas de la propia organización o de empresas ajenas, que por motivo del desempeño de sus trabajos puedan tener acceso a los datos del Fichero, aunque esos trabajos no impliquen el tratamiento de los datos, como pueden ser trabajadores de la limpieza, administración, vigilancia, etc.., el responsable del Fichero o del tratamiento deberá adoptar las medidas oportunas para limitar el acceso a los datos personales, así como notificarles la prohibición de acceso a los mismos y la obligación de secreto respecto a los datos que hubiesen podido conocer con motivo de la prestación del servicio. El responsable del Fichero o del tratamiento podrá delegar sus funciones en otras personas designadas al efecto, pero esta delegación deberá constar expresamente en el Anexo D de este Documento de Seguridad, en donde se anotará el nombre de estas personas así como las funciones delegadas. En ningún caso esta designación supondrá una delegación de la responsabilidad que corresponde al responsable del Fichero o del tratamiento. Si se hubiese autorizado a un encargado de tratamiento el acceso a los datos del fichero para su tratamiento, se deberán hacer constar en un Contrato de Encargado de 10

11 Tratamiento (o de Tratamiento de Datos por cuenta de terceros) los datos del Encargado del tratamiento, el tipo de tratamientos, y circunstancias de estos tratamientos. INFORMACIÓN AL PERSONAL Para asegurar que todas las personas conocen las normas de seguridad que afectan al desarrollo de sus funciones, así como las consecuencias del incumplimiento de las mismas, se facilitará un documento a firmar por cada empleado /usuario con las funciones y obligaciones que deberán cumplir con respecto a los datos de carácter personal. FUNCIONES Y OBLIGACIONES DEL PERSONAL Todo el personal que acceda a los datos de carácter personal está obligado a conocer y observar las medidas, normas, procedimientos, reglas y estándares que afecten a las funciones que desarrolla. Constituye una obligación del personal notificar al las incidencias de seguridad de las que tengan conocimiento respecto a los recursos protegidos, según los procedimientos establecidos en este Documento, y en concreto en el apartado de Registro de incidencias. Todas las personas deberán guardar el debido secreto y confidencialidad sobre los datos personales que conozcan en el desarrollo de su trabajo. El personal que realice trabajos que no impliquen el tratamiento de datos personales tendrán limitado el acceso a estos datos, a los soportes que los contengan, o a los recursos del sistema de información. Cuando se trate de personal ajeno, el contrato de prestación de servicios recogerá expresamente la prohibición de acceder a los datos personales y la obligación de secreto respecto de aquellos datos que hubiera podido conocer durante la prestación del servicio. CONSECUENCIAS DEL INCUMPLIMIENTO DEL DOCUMENTO DE SEGURIDAD El incumplimiento de las obligaciones y medidas de seguridad establecidas en el presente documento por el personal afectado, se sancionará conforme a indicar la normativa sancionadora aplicable (por ejemplo: el convenio colectivo propio, Estatuto de los Trabajadores ). 11

12 4. PROCEDIMIENTOS DE NOTIFICACIÓN, GESTIÓN Y RESPUESTA ANTE LAS INCIDENCIAS Una incidencia es cualquier evento que pueda producirse esporádicamente y que pueda suponer un peligro para la seguridad del Fichero, entendida bajo sus tres vertientes de confidencialidad, integridad y disponibilidad de los datos. Se considerarán como "incidencias de seguridad", entre otras, cualquier incumplimiento de la normativa desarrollada en este Documento de Seguridad, así como a cualquier anomalía que afecte o pueda afectar a la seguridad de los datos de carácter personal de la organización. El procedimiento a seguir para la notificación de incidencias será el especificado en el Anexo IX del presente Documento de Seguridad. El mantener un registro de las incidencias que comprometan la seguridad de un Fichero es una herramienta imprescindible para aplicar las medidas correctoras necesarias, así como posibilitar la prevención de posibles ataques a esa seguridad y la persecución de los responsables de los mismos. El responsable del Fichero habilitará un registro de incidencias con el fin de que se registre en él cualquier incidencia que pueda suponer un peligro para la seguridad del mismo. Cualquier usuario que tenga conocimiento de una incidencia es responsable del registro de la misma, si existe un sistema automatizado para hacerlo, ó de la notificación por escrito al Responsable de seguridad ó al superior inmediato, si el registro se realiza manualmente. El conocimiento y la no notificación o registro de una incidencia por parte de un usuario será considerado como una falta contra la seguridad del Fichero por parte de ese usuario. La notificación o registro de una incidencia deberá constar al menos de los siguientes datos: tipo de incidencia, fecha y hora en que se produjo, persona que realiza la notificación, persona a quien se comunica, efectos que puede producir, descripción detallada de la misma. El procedimiento está descrito en el Anexo IX. 12

13 5. GESTION DE SOPORTES GESTIÓN DE SOPORTES Y DOCUMENTOS Dado que la mayor parte de los soportes que hoy en día se utilizan son fácilmente transportables y/o reproducibles, es evidente la importancia que para la seguridad de los datos del Fichero tiene el control de estos medios. Los soportes que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y serán almacenados en indicar el lugar de acceso restringido donde se almacenarán, lugar de acceso restringido al que solo tendrán acceso las personas con autorización que se relacionan en el Anexo VI. Se exceptúan estas obligaciones cuando las características físicas del soporte imposibiliten su cumplimiento, quedando constancia motivada de ello en el documento de seguridad. Los siguientes soportes indicar aquellos que contengan datos considerados especialmente sensibles y respecto de los que se haya optado por proceder del siguiente modo se identificarán utilizando los sistemas de etiquetado siguientes especificar los criterios de etiquetado que serán comprensibles y con significado para los usuarios autorizados, permitiéndoles identificar su contenido, y que sin embargo dificultarán la identificación para el resto de personas. Los soportes se almacenarán de acuerdo a las siguientes normas: indicar normas de etiquetado de los soportes. Especificar el procedimiento de inventariado y almacenamiento de los mismos. El inventario de soportes puede anexarse al documento o gestionarse de forma automatizada, en este último caso se indicará en este punto el sistema informático utilizado. La salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos en correos electrónicos, fuera de los locales bajo el control del responsable del tratamiento, deberá ser autorizada por el responsable del fichero o aquel en que se hubiera delegado de acuerdo al siguiente procedimiento detallar el procedimiento a seguir para que se lleve a cabo la autorización. Tener en cuenta también los ordenadores portátiles y el resto de dispositivos móviles que puedan contener datos personales. En el Anexo VII se incluirán los documentos de autorización relativos a la salida de soportes que contengan datos personales. Los soportes que vayan a ser desechados, deberán ser previamente detallar procedimiento a realizar para su destrucción o borrado (por eje: formateados, destruidos por una destructora de papel ) de forma que no sea posible el acceso a la información contenida en ellos o su recuperación posterior. En el traslado de la documentación se adoptarán las siguientes medidas para evitar la 13

14 sustracción, pérdida o acceso indebido a la información: indicar las medidas y procedimientos previstos. Siempre que se proceda al traslado físico de la documentación contenida en un fichero, deberán adoptarse medidas dirigidas a impedir el acceso o manipulación de la información objeto de traslado. REGISTRO DE ENTRADA Y SALIDA DE SOPORTES INFORMATIZADOS Las salidas y entradas de soportes correspondientes a los ficheros de nivel medio y alto, serán registradas de acuerdo el procedimiento marcado. El registro de entrada y salida de soportes se gestionará mediante indicar la forma en que se almacenará el registro, y en el que deberán constar, al menos, - en el caso de las entradas, el tipo de documento o soporte, la fecha y hora, el emisor, el número de documentos o soportes incluidos en el envío, el tipo de información que contienen, la forma de envío y la persona autorizada responsable de la recepción; - y en el caso de las salidas, el tipo de documento o soporte, la fecha y hora, el destinatario, el número de documentos o soportes incluidos en el envío, el tipo de información que contienen, la forma de envío y la persona autorizada responsable de la entrega. GESTIÓN Y DISTRIBUCIÓN DE SOPORTES INFORMATIZADOS CON DATOS DE NIVEL ALTO En este caso los soportes se identificarán mediante el sistema de etiquetado especificar los criterios de etiquetado que resultarán comprensibles y con significado para los usuarios con acceso autorizados, permitiéndoles identificar su contenido y dificultando la identificación para el resto de personas. La distribución y salida de soportes que contengan datos de carácter personal de los ficheros de nivel alto se realizará indicar el procedimiento para cifrar los datos CRITERIOS DE ARCHIVO DE LOS FICHEROS MANUALES El archivo de los soportes o documentos se realizará de acuerdo con los criterios indicar los previstos en la legislación que les afecte o en su defecto, los establecidos por el responsable del fichero, que en cualquier caso garantizarán la correcta conservación de los documentos, la localización y consulta de la información y posibilitarán el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación. Los elementos de almacenamiento de documentos con datos de nivel Alto indicar tipos como armarios, archivadores u otros elementos utilizados respecto de los documentos con datos personales, se encuentran en indicar lugares físicos y protección con que cuenta el acceso a las mismas, como llaves u otros dispositivos. Además estos lugares permanecerán cerrados en tanto no sea preciso el acceso a los documentos. Si a la vista de las características de los locales no fuera posible cumplir lo anteriormente indicado, se 14

15 adoptarán medidas alternativas que se reflejarán en este punto. Los locales, armarios y dispositivos donde se ubiquen los soportes físicos que contienen el Fichero deben ser objeto de especial protección que garantice la disponibilidad y confidencialidad de los datos protegidos. Los locales deberán contar con los medios mínimos de seguridad que eviten los riesgos de indisponibilidad del Fichero que pudieran producirse como consecuencia de incidencias fortuitas o intencionadas. Si el tratamiento de los datos el fichero se realizase en locales ajenos, debido a un contrato con un Encargado del tratamiento (al que se le encarga mediante contrato, el tratamiento total o parcial de los datos protegidos), el Encargado de tratamiento deberá elaborar un documento de seguridad en que se describan las medidas de seguridad adoptadas para proteger el fichero, o en su defecto completar este documento de seguridad con las medidas adoptadas. En todo caso el acceso a los datos por el encargado del tratamiento estará sometido a las medidas de seguridad contempladas en el Reglamento. Los armarios, archivadores y dispositivos de almacenamiento de los documentos que contengan datos de carácter personal deberán disponer de mecanismos que obstaculicen su apertura. Cuando las características físicas de aquéllos no permitan adoptar esta medida, el responsable del fichero o tratamiento adoptará medidas que impidan el acceso de personas no autorizadas. Mientras la documentación con datos de carácter personal no se encuentre archivada en los dispositivos de almacenamiento establecido en el artículo anterior, por estar en proceso de revisión o tramitación, ya sea previo o posterior a su archivo, la persona que se encuentre al cargo de la misma deberá custodiarla e impedir en todo momento que pueda ser accedida por personas no autorizadas. Los armarios, archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de carácter personal deberán encontrarse en áreas en las que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Dichas áreas deberán permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero. Si, atendidas las características de los locales y de los dispositivos de almacenamiento de que dispusiera el responsable del fichero o tratamiento, no fuera posible cumplir lo establecido en los apartados anteriores, el responsable adoptará medidas alternativas que, debidamente motivadas, se incluirán en este documento de seguridad CUSTODIA DE SOPORTES MANUALES En tanto los documentos con datos personales no se encuentren archivados en los dispositivos de almacenamiento indicados en el punto anterior, por estar en proceso de tramitación, las personas que se encuentren a su cargo deberán custodiarlos e impedir el 15

16 acceso a personas no autorizadas. 16

17 6. PROCEDIMIENTO DE RESPALDO Y RECUPERACION COPIAS DE RESPALDO Y RECUPERACIÓN Se realizarán copias de respaldo de la documentación informatizada, salvo que no se hubiese producido ninguna actualización de los datos, con la siguiente periodicidad especificarla, y en todo caso será como mínimo una vez a la semana. Los procedimientos establecidos para las copias de respaldo y para su recuperación garantizarán su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción. El responsable del fichero verificará semestralmente los procedimientos de copias de respaldo y recuperación de los datos. Las pruebas anteriores a la implantación o modificación de sistemas de información se realizarán con datos reales previa copia de seguridad, y garantizando el nivel correspondiente al tratamiento realizado. En el Anexo VII se detallan los procedimientos de copia y recuperación de respaldo. 17

18 7. PROCEDIMIENTOS DE REVISIÓN REVISIÓN DEL DOCUMENTO DE SEGURIDAD El documento deberá mantenerse en todo momento actualizado y deberá ser revisado siempre que se produzcan cambios relevantes en el sistema de información, en el contenido de la información incluida en los ficheros o como consecuencia de los controles periódicos realizados. En todo caso se entenderá como cambio relevante cuando pueda repercutir en el cumplimiento de las medidas de seguridad implantadas. Asimismo, deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal. Se reflejarán estos cambios y actualizaciones en el informe de auditoría interna o externa que verifique el cumplimiento del Título VIII del RLOPD, referente a las medidas de seguridad, según lo indicado en sus artículos 96 y 110 respecto de ficheros automatizados y no automatizados respectivamente, y que debe realizarse al menos cada dos años. Con carácter extraordinario se realizará cuando se lleven a cabo modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas, con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta auditoría inicia el cómputo de dos años señalado. El informe analizará la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificará las deficiencias y propondrá las medidas correctoras o complementarias necesarias. Los informes de auditoría han de ser analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del fichero para que adopte las medidas correctoras y quedará a disposición de la Agencia Española de Protección de Datos, o en su caso de las autoridades de control de las comunidades autónomas. 18

19 ANEXOS 19

20 ANEXO I RESPONSABLE DE SEGURIDAD Fecha de nombramiento: El Responsable de los ficheros nombra como Responsable de Seguridad a Don/Doña con DNI nº como aquella persona encargada de coordinar y controlar las medidas de seguridad establecidos en el Documento de Seguridad de la organización. Firma del Responsable de seguridad: 20

21 ANEXO II DESCRIPCIÓN DE FICHEROS Actualizado a: fecha de la última actualización * Se incluirá un anexo de este tipo por cada fichero incluido en el ámbito de documento de seguridad. FICHERO 1: Identificador y nombre del fichero en el Registro General de Protección de Datos de la Agencia Española de Protección de Datos: Identificador: código de inscripción Nombre: nombre inscrito Descripción: descripción inscrita Nivel de medidas de seguridad a adoptar: básico, medio o alto. Estructura del fichero: incluir los tipos de datos personales contenidos en el fichero Encargados de tratamiento autorizados a tratar los datos: Información sobre el fichero o tratamiento Finalidad y usos previstos. Personas o colectivos: indicar procedencia de los datos Procedimiento de recogida: Cesiones previstas: Transferencias Internacionales:. Sistema de tratamiento: automatizado, manual o mixto. Servicio o Unidad ante el que puedan ejercitarse los derechos de acceso, rectificación, cancelación y oposición: <indicar la unidad y/o dirección. Deben preverse además, los procedimientos internos para responder a las solicitudes de ejercicio de derechos de los interesados>. 21

22 ANEXO III DESCRIPCION DEL SISTEMA INFORMATICO, LOCALES, UBICACIÓN FISICA Y PUESTOS DE TRABAJO En este anexo se describirán las características de los sistemas informáticos, locales, los ficheros que contienen, las ubicaciones habituales donde se almacena el fichero o ficheros y los puestos de trabajo: 1. Entorno de Sistema Operativo y de Comunicaciones del Fichero (Debe ser cumplimentado por el administrador del sistema) Deberá contener al menos los siguientes datos y aspectos: Sistema operativo Nombre y versión Fabricante Características generales (monopuesto, multiusuario, compartición de ficheros u otros recursos, etc...) Control de acceso, características Archivos de logging y procedimientos de recuperación propios del sistema. Responsables del mantenimiento Entorno de comunicaciones (si lo tuviese) Tipo de red local (Ethernet, otras), ámbito y extensión. Si existe conexión con otras redes locales o WAN, indicar el tipo de conexión (permanente, esporádica, etc...), a través de redes públicas como Internet o con conexiones privadas, etc... Hay compartición de recursos y archivos? Si es así indicar que tipo de sistema de red es utilizado, sus límites y alcance. Controles de acceso desde la red al sistema del Fichero. 2. Locales y equipamiento de los centros de tratamiento Locales Descripción de la ubicación física Tipo de acceso: Sistemas de continuidad Equipamiento; armarios ignífugos, etc. Ubicación física habitual - Lugar donde se almacenan los soportes del fichero habitualmente. - Tipo de contenedor de los soportes: armarios, archivadores, etc. 22

23 - Mecanismos de seguridad de los contenedores: cerraduras de llave, combinación, u otro tipo. Puestos de Trabajo - Descripción Equipos: Servidores, equipos, Impresoras - Relación de puestos de trabajo 23

24 ANEXO IV PERSONAL AUTORIZADO PARA ACCEDER A LOS FICHEROS RESPONSABLE DEL FICHERO Nombre y apellidos Cargo Alta Baja RESPONSABLE DE SEGURIDAD Nombre y apellidos Cargo Alta Baja ADMINISTRADORES DEL SISTEMA Nombre y apellidos Organismo / Unidad Administrativa Alta Baja USUARIOS DEL FICHERO Nombre y apellidos Puesto de trabajo Ficheros a los que tiene acceso Fecha de Alta Fecha de Baja 24

25 ANEXO V FUNCIONES Y OBLIGACIONES DEL PERSONAL 1. Obligaciones que afectan a todo el Personal Guardar secreto profesional y confidencialidad de la información tratada. Quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo. La vulneración del deber de guardar secreto sobre los datos de carácter personal incorporados a ficheros que contengan datos personales será considerado como una falta leve, grave o muy grave de conformidad con lo previsto en el artículo 44 de la LOPD, lo cual dará lugar a iniciación de actuaciones disciplinarias, si procediesen. Facilitar el derecho de acceso, rectificación y cancelación a los titulares de los datos. Para ello se informará inmediatamente al Responsable del Fichero Responsable de Seguridad o Encargado del tratamiento y se recogerá siempre en solicitud escrita. CON RESPECTO LOS DATOS INFORMATIZADOS: Puestos de trabajo 1. Los puestos de trabajo estarán bajo la responsabilidad de algún usuario autorizado que garantizará que la información que muestran no pueda ser visible por personas no autorizadas. 2. Esto implica que tanto las pantallas como las impresoras u otro tipo de dispositivos conectados al puesto de trabajo deberán estar físicamente ubicados en lugares que garanticen esa confidencialidad. 3. Cuando el responsable de un puesto de trabajo lo abandone, bien temporalmente o bien al finalizar su turno de trabajo, deberá dejarlo en un estado que impida la visualización de los datos protegidos. Esto podrá realizarse a través de un protector de pantalla que impida la visualización de los datos. La reanudación del trabajo implicará la desactivación de la pantalla protectora con la introducción de la contraseña correspondiente. 4. En el caso de las impresoras deberá asegurarse de que no quedan documentos impresos en la bandeja de salida que contengan datos protegidos. Si las impresoras son compartidas con otros usuarios no autorizados para acceder a los datos de Fichero, los responsables de cada puesto deberán retirar los documentos conforme vayan siendo impresos. 5. Queda expresamente prohibida la conexión a redes o sistemas exteriores de los puestos de trabajo desde los que se realiza el acceso al fichero. La revocación de esta prohibición sera autorizada por el responsable del fichero, quedando constancia de esta modificación en el Libro de incidencias. 25

26 6. Los puestos de trabajo desde los que se tiene acceso al fichero tendrán una configuración fija en sus aplicaciones, sistemas operativos que solo podrá ser cambiada bajo al autorización del responsable de seguridad o por administradores autorizados. Salvaguarda y protección de las contraseñas personales Cada usuario será responsable de la confidencialidad de su contraseña y, en caso de que la misma sea conocida fortuita o fraudulentamente por personas no autorizadas, deberá registrarlo como incidencia y proceder a su cambio. Gestión de incidencias Cualquier usuario que tenga conocimiento de una incidencia es responsable de la comunicación de la misma al administrador del sistema, o en su caso del registro de la misma en el sistema de registro de incidencias del Fichero. El conocimiento y la no notificación de una incidencia por parte de un usuario será considerado como una falta contra la seguridad del Fichero por parte de ese usuario. Gestión de soportes Los soportes que contengan datos del Fichero, bien como consecuencia de operaciones intermedias propias de la aplicación que los trata, o bien como consecuencia de procesos periódicos de respaldo o cualquier otra operación esporádica, deberán estar claramente identificados con una etiqueta externa que indique de qué fichero se trata, que tipo de datos contiene, proceso que los ha originado y fecha de creación. Aquellos medios que sean reutilizables, y que hayan contenido copias de datos del Fichero, deberán ser borrados físicamente antes de su reutilización, de forma que los datos que contenían no sean recuperables. Los soportes que contengan datos del Fichero deberán ser almacenados en lugares a lo que no tengan acceso personas no autorizadas para el uso del Fichero que no estén relacionadas. 2. Funciones y obligaciones del Responsable del Fichero El responsable es la persona física o jurídica que tenga atribuida la competencia a la que sirva instrumentalmente los datos contenidos en el fichero. Decide sobre la finalidad, uso y contenido de los mismos. Elaborará el documento de seguridad. En caso de que exista un encargado de tratamiento, y se realice el tratamiento del fichero fuera de los locales del responsable del fichero, la elaboración del mismo podría corresponder al encargado de tratamiento Implantará y hará cumplir las medidas de seguridad establecidas en este documento. 26

27 Deberá garantizar la difusión de este Documento entre todo el personal que vaya a utilizar. Deberá mantenerlo actualizado siempre que se produzcan cambios relevantes en la organización o entorno del fichero, y deberá adecuar en todo momento el contenido del mismo a las disposiciones vigentes en materia de seguridad de datos. La organización designará uno o varios Responsables de Seguridad que figurarán en el Anexo I del Documento. Ordenará al menos cada dos años la realización de una auditoría, externa o interna que dictamine el correcto cumplimiento y la adecuación de las medidas del presente documento de seguridad o las exigencias del Reglamento, identificando las deficiencias y proponiendo las medidas correctoras necesarias. Los informes de auditoría serán analizados por el responsable de seguridad, quien propondrá al responsable del Fichero las medidas correctoras correspondientes 3. Funciones y obligaciones que el Responsable del Fichero podrá delegar en otras personas El responsable del fichero podrá, opcionalmente, designar uno o varios responsables delegados, cuyo nombramiento deberá adjuntar al Anexo D, que podrán asumir por él las siguientes obligaciones: Criterios de archivo y custodia o Establecer los criterios y procedimientos de actuación que deban seguirse para el archivo de los soportes o documentos, cuando no estén previstos la respectiva legislación aplicable al fichero. Estos criterios deberán garantizar la correcta conservación de los documentos, la localización y consulta de la información y posibilitar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación, que se determinaran en el Anexo B. o La custodia de los soportes o documentos, cuando no exista normativa aplicable que la determine. Autorización del personal que puede acceder al fichero o Encargarse de que exista una relación actualizada de usuarios y perfiles de usuarios, con acceso autorizado para acceder a los datos del fichero. o Conceder, alterar o anular el acceso autorizado sobre datos o los recursos del Ficheros. o Establecer mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados. Cuando esto último no sea 27

28 posible, nombrará a la persona que custodiará la documentación para impedir accesos no autorizados Control de accesos al fichero o Establecer mecanismos y el procedimiento que permita identificar cualquier acceso a la información que puedan ser utilizados por múltiples usuarios, que deberá adjuntarse en el Anexo E. o Mantener un registro de accesos, verificando y registrando estos accesos mediante el procedimiento que deberá figurar en el mismo Anexo, cuando no sea posible establecer mecanismos Locales, armarios y dispositivos de almacenamiento o o o o Adoptar las medidas alternativas que impidan el acceso de personas no autorizadas cuando los armarios, archivadores y dispositivos de almacenamiento de los documentos que contengan datos de caracter personal no dispongan de mecanismos de obstaculicen su apertura. Custodiar la documentación e impedir que en todo momento pueda ser accedida por personas no autorizadas, mientras no se encuentre archivada en los dispositivos de almacenamiento establecido con los mecanismos descritos en el anterior punto, por estar en proceso de revisión o tramitación. Controlar el acceso a las áreas en las que se encuentran los armarios, archivadores u otros elementos en los que se almacenan los ficheros, mediante el cierre de las puertas de acceso que tendrán que estar dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Cuando atendidas las características de los locales y de los dispositivos de almacenamiento de que dispusiera el responsable del fichero, no fuese posible lo anterior, adoptará las medidas alternativas debidamente motivadas en el Anexo C de este documento de seguridad. Puestos de trabajo Autorizar el trabajo fuera de los locales donde se ubica el fichero o puesto de trabajo habitual. Gestión de Incidencias o Habilitar y mantener un registro de incidencias a disposición de todos los usuarios del Fichero con el fin de que se registre en él cualquier incidencia que pueda suponer un peligro para la seguridad del mismo. o La notificación o registro de una incidencia deberá constar al menos de los siguientes datos: tipo de incidencia, fecha y hora en que se produjo, persona que realiza la notificación, persona a quien se comunica, efectos que puede producir, descripción detallada de la misma. El procedimiento se describe en el Anexo G. 28

29 Gestión de soportes y documentación o Autorizar expresamente la salida de soportes fuera de los locales donde está ubicado el Fichero. o Adoptar un procedimiento para la destrucción y almacenaje de esos soportes. o Adoptar las medidas necesarias para impedir la sustracción, pérdida o acceso indebido a la información durante el transporte, cuando la documentación o los soportes vayan a salir fuera de los locales en que se encuentren ubicados los ficheros. o Adoptar medidas dirigidas a impedir el acceso o manipulación de la información objeto de traslado, siempre que se proceda al traslado físico de la documentación contenida en un fichero. Copia o reproducción Controlar la generación de copias o la reproducción de documentación Controles periódicos de verificación del cumplimiento El responsable del fichero se responsabilizará de, al menos cada dos años, ordenar la realización de una auditoría, externa o interna que dictamine el correcto cumplimiento y la adecuación de las medidas del presente documento de seguridad o las exigencias del Reglamento, identificando las deficiencias y proponiendo las medidas correctoras necesarias. Los informes de auditoría serán analizados por el responsable de seguridad, quien propondrá al responsable del Fichero las medidas correctoras correspondientes 4. Funciones y obligaciones del Encargado del Tratamiento El encargado del tratamiento es la persona física o jurídica que trata datos personales por cuenta del responsable del fichero, como consecuencia de una relación jurídica que le vincula con el mismo y delimita su actuación, que deberá acreditarse mediante la documentación que se adjuntara en el Anexo A. En el caso de existir encargado del tratamiento, le corresponderá elaborar el documento de seguridad de los ficheros y tratamientos prestados en sus propios locales que figuran en el Anexo C. En el caso de prestar los servicios en los locales del responsable del fichero, el mismo y su personal deberán cumplir el documento de seguridad elaborado por el responsable. Cuando los ficheros se procesen en locales de uno y otro, el encargado facilitará al 29

30 responsable del Fichero, la documentación necesaria para completar el documento de seguridad del responsable. 5. Funciones y obligaciones del Responsable de Seguridad Es la persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad. Existirá al menos un responsable de seguridad que deberá ser nominado por el responsable del Fichero. Su nominación deberá ser adjuntada al Anexo D. Cuando nombre a más de un responsable de seguridad deberá dejarse constancia en el Anexo D, los ficheros y tratamientos asignados a cada uno de ellos. Analizara las incidencias registradas, tomando las medidas oportunas en colaboración con el responsable del Fichero. El responsable de seguridad del Fichero comprobará, con una periodicidad al mensual, que la lista de usuarios autorizados del Anexo D se corresponde con los usuarios realmente autorizados para acceder al Fichero. Al menos cada dos años, se realizará una auditoría, externa o interna que dictamine el correcto cumplimiento y la adecuación de las medidas del presente documento de seguridad o las exigencias del Reglamento, identificando las deficiencias y proponiendo las medidas correctoras necesarias. Los informes de auditoria serán analizados por el responsable de seguridad, quien propondrá al responsable del Fichero las medidas correctoras correspondientes. Mensualmente, la información de control registrada en el registro de accesos supervisados por el responsable de seguridad. serán 6. Funciones y obligaciones de los Usuarios del fichero Los usuarios del fichero son las personas que tienen acceso a los datos del Fichero como consecuencia las tareas que tienen encomendadas en función de su puesto de trabajo. Además de dichas funciones relativas al desempeño profesional asociado a su puesto laboral, todo el personal colaborará con el Responsable del Fichero y Responsable/s de Seguridad en pro de velar por el cumplimiento de la legislación y reglamentación vigente sobre Protección de Datos de Carácter Personal. Acceder exclusivamente a aquellos datos o recursos que precise para el desarrollo de sus funciones. El acceso al fichero y recursos deberá ser autorizado por el responsable del fichero o persona delegada. Custodiar la documentación e impedir que en todo momento pueda ser accedida 30