Medidas de Nivel Medio

Save this PDF as:
 WORD  PNG  TXT  JPG

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Medidas de Nivel Medio"

Transcripción

1 Capítulo 6 Medidas de Nivel Medio Medidas de seguridad especiales Para los sistemas de información que traten, almacenen o transmitan datos de carácter personal clasificados dentro de los datos de nivel medio 38, deberán adoptarse consecuentemente medidas de seguridad de nivel medio, además de las medidas de nivel básico. Las medidas de seguridad de nivel medio afectan a los siguientes procedimientos o elementos: 1) Responsable de seguridad. 2) Controles periódicos. 3) Auditoría. 4) Identificación y autenticación. 5) Control de acceso físico. 6) Gestión de soportes. 7) Registro de incidencias. 8) Pruebas con datos reales. El Real Decreto 994/1999 ha considerado la necesidad de establecer medidas de seguridad más elevadas para determinados datos de carácter personal. Dichos datos, incluidos dentro del nivel medio deberán tener mejores medidas de seguridad en virtud de la información que facilitan de los afectados. Una empresa que trate datos de carácter personal de nivel básico y de nivel medio, cuantos Documentos de Seguridad deberá preparar? 38 Los datos de carácter personal de nivel medio son los siguientes: Datos relativos a la comisión de infracciones administrativas o penales, dados de Hacienda Pública, Datos de servicios financieros, Datos de solvencia patrimonial y crédito y Datos que permitan obtener una evaluación de la personalidad. 41

2 Las medidas de seguridad de nivel básico y las de nivel medio, pueden estar en el mismo Documento de Seguridad, no siendo necesario que se prepare un Documento de Seguridad para las medidas de nivel básico y otro para las medidas de seguridad de nivel medio. Las formas para incluir tanto las medidas de seguridad de nivel básico como las de nivel medio dentro del Documento de Seguridad, pueden ser dos 39 : 1) En secciones separadas: Dentro de un mismo Documento de Seguridad pueden establecerse dos secciones o apartados. En un primer lugar, en la primera sección se pueden detallar las medidas de seguridad para los sistemas que requieran medidas de seguridad de nivel alto y en un segundo apartado, las medidas de seguridad de nivel medio. 2) Por tipos de medidas: Las medidas de seguridad de nivel medio, en alguno de los casos afectan a los mismos elementos sobre los que las medidas de seguridad de nivel básico ya han regulado. En este sentido, otra de las opciones para incluir las medidas de seguridad de nivel básico dentro del Documento de Seguridad será estableciendo dentro de cada elemento detallado por las medidas de seguridad de nivel básico, las medidas específicas del nivel medio. Opción 1ª - Secciones separadas. Tendremos un Documento de Seguridad en el que primero detallaremos todas las medidas de seguridad que han de cumplir los sistemas de información que traten datos personales de nivel básico y después en una segunda sección o apartado se detallarán las medidas de seguridad de nivel medio. Opción 2º - Por tipos de medidas. Uno de los apartados del Documento de Seguridad de nivel básico es el de Gestión de Soportes. Las medidas de seguridad de nivel medio, establecen más medidas de seguridad para la Gestión de Soportes, que incluyan datos personales de nivel medio, por lo que si se opta por agrupar las medidas por tipos de medidas similares, en el apartado del Documento de Seguridad que regule la Gestión de Soportes, se pondrá primero las medidas de seguridad de nivel básico y a continuación, se detallarán las medidas de seguridad de nivel medio sobre la Gestión de Soportes. Cada empresa, profesional o administración, puede hacerlo como considere que le sea más útil o práctico, en el Real Decreto 994/1999 no se establece un sistema para configurar el Documento de Seguridad. En todo caso, siempre será necesario especificar claramente los recursos a los que se les aplicarán unas medidas de seguridad u otras. Las medidas de seguridad de nivel medio, implicarán una mayor carga de procedimientos de seguridad para el caso que una empresa, profesional o administración tengan ficheros con datos de carácter personal de nivel medio. Por esta razón, es muy importante que únicamente traten, guarden o transmitan datos de carácter personal de nivel medio aquellos sistemas que realmente lo requieran ya que en caso contrario, se pueden estar implantando medidas de 39 Dicha explicación también ha de entenderse realizada para el caso que sean de aplicación medidas de seguridad de nivel alto. 42

3 seguridad de nivel medio en sistemas de información que realmente no lo requieren pero al tener datos de nivel medio han de cumplirse dichas obligaciones. Responsable de Seguridad Las empresas, profesionales o administraciones que tengan ficheros con datos de carácter personal de nivel medio, deberán nombrar a una persona para el cargo de responsable de seguridad 40. El responsable de seguridad tendrá la obligación de coordinar y controlar que se aplican las medidas de seguridad. Los titulares de los ficheros que contengan datos de carácter personal de nivel medio, deberán establecer en el Documento de Seguridad el nombre del responsable o los responsables de seguridad, que hayan sido nombrados al efecto. Ver modelo en el Anexo VII. Quién ha de asumir el cargo de responsable de seguridad? El Real Decreto 994/1999 establece que el responsable de seguridad podrá ser una o más personas. En todo caso, no establece si dichas personas han de ser empleados de la propia empresa o pueden ser terceras personas. El responsable de seguridad podrá ser una persona ajena a la empresa que tenga asignadas dichas funciones. En todo caso, si el responsable de seguridad es una persona ajena a la empresa, será necesario que se firme con la misma un contrato de tratamiento de datos por cuenta de terceros 41, ya que en el transcurso de su trabajo puede tener acceso a datos personales propiedad de la empresa a la cual presta sus servicios. Ha de entenderse que en algunas empresas ya sea por sus reducidas dimensiones y pocos empleados o por su complejidad, requieran para dicho cargo los servicios de un profesional externo con conocimiento y experiencia que asuma dichas obligaciones. Así mismo, podemos encontrarnos el caso de un grupo de empresas X en las que exista una de las sus empresas, la empresa Y, que sea la encargada de la gestión o de los temas de gestión técnica o informática. En estos casos, puede ser muy útil nombrar como responsable de seguridad (para cada una de las empresas de dicho grupo 42 ) al director técnico del grupo, ya que es la persona que conoce los temas técnicos en cada una de ellas Responsable de seguridad: persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables. Dicha obligación está establecida en el artículo 12 de la LOPD. Es muy importante recordar que las obligaciones en materia de protección de datos para el caso de un grupo de empresas, se deberán cumplir para cada una de ellas, es decir, cada una deberá notificar sus ficheros ante la Agencia de Protección de Datos, cada una tendrá que tener su propio Documento de Seguridad y nombrar a su responsable de seguridad que podría ser la misma persona. 43

4 Puede nombrarse como responsable de seguridad a una persona jurídica? La definición de responsable de seguridad que realiza el Real Decreto 994/1999, habla de persona o personas, sin especificar si han de ser físicas o jurídicas. En todo caso y por el hecho que ni tan solo se requiere que sean empleados, consideramos que una persona jurídica puede ser nombrada responsable de seguridad. Cuáles son las responsabilidades que asume el responsable de seguridad? El Real Decreto 994/1999 establece de forma expresa, que la designación de una persona como responsable de seguridad, no significa que exista una delegación de la responsabilidad que tiene el responsable del fichero 43. En todo caso la responsabilidad que asume el responsable del fichero es la que pueda tener cualquier otro empleado (en el supuesto que sea un trabajador de la propia empresa) o la que asume un proveedor de servicios (en el supuesto que sea una empresa subcontratada). El responsable del fichero tendrá encargadas la realización de unas tareas y unas obligaciones, que tendrá que cumplir, siéndole de aplicación el régimen disciplinario general establecido por el derecho laboral en caso de incumplimiento de las mismas si es un trabajador. Controles periódicos Otra de las medidas de seguridad de nivel medio es la realización de controles periódicos. El Documento de Seguridad deberá detallar los controles periódicos que el responsable de seguridad deberá realizar para verificar que se esté cumpliendo lo que el Documento de Seguridad establece. Es decir, una de las obligaciones que se contienen en el propio Real Decreto 994/1999 es la de establece controles o sistemas de verificación para comprobar que lo que está escrito en el Documento de Seguridad se cumple y además que las medidas de seguridad contenidas en el mismo se adecuan a la realidad. Para ello, será necesario que en primer lugar en el propio Documento de Seguridad se enumeren los controles periódicos que se deberán realizar. En relación a la periodicidad de la realización de controles, el Real Decreto 994/1999 no establece o determina un periódico concreto. En este sentido, consideramos que pueden establecerse diferentes periodicidades para la realización de los controles, en función de los elementos, sistemas o procedimientos que se deban de revisar. En este sentido, consideramos que deberán establecerse controles más frecuentes para aquellos sistemas de información que sean susceptibles de sufrir ataques o quedar desactivados. La periodicidad de los controles, también dependerá de la dimensión de la empresa, es decir si es una empresa muy grande en la que por ejemplo puede existir rotación frecuente del personal laboral, será más importante realizar más frecuentemente revisiones sobre los sistemas de acceso, identificación y 43 El responsable del fichero es la persona física o jurídica titular de dicha base de datos de carácter personal. Es la persona que decide sobre la utilización de los datos. 44

5 autenticación, así como en las listas de personas autorizadas a acceder a los sistemas de información. A continuación procedemos a enumerar de forma no restrictiva, alguno de los controles periódicos que deberán realizarse sobre los sistemas de información o las verificaciones que deberán realizarse: 1) Documento de Seguridad: Deberá verificarse su actualización. Además deberá verificarse su existencia y ubicación dentro de la empresa. Para ello se recomienda que cuando en el transcurso de un proceso de revisión o actualización del mismo se hagan cambios, se guarden como una nueva versión del Documento de Seguridad para tener un histórico de las sucesivas versiones. Se recomienda que se verifique como mínimo trimestralmente. 2) Personal: También deberá revisarse periódicamente el nivel de conocimiento del Documento de Seguridad entre el personal de la empresa que ha de conocerlo. Además deberá establecerse un sistema de información o formación en relación con las obligaciones que cada departamento de la empresa tenga en relación con las medidas de seguridad. 3) Usuarios: Se verificará la actualización de los registros de usuarios autorizados o con acceso a los sistemas de información. Se recomienda que como mínimo se verifique trimestralmente. En las empresas con un gran número de trabajadores o con un alto nivel de rotación del personal laboral, se aconseja que se establezca un sistema de revisión mensual en conexión con el departamento de recursos humanos o de administración. Actualización del Registro de usuario con acceso a los sistemas de información. También se realizará una revisión de los sistemas de identificación y autenticación mediante contraseñas, su actualización y cambio. Se verificará el funcionamiento de los sistemas de identificación y autentificación mediante la realización de intentos de acceso a los sistemas. También se comprobará que dichos sistemas registran dichos intentos y los limitan, según las medidas de seguridad requerida. 4) Ficheros: Verificación de los datos personales tratados. Revisión de que los datos tratados se corresponden a los que se han declarado ante la Agencia de Protección de Datos y que los niveles de seguridad son los correspondientes en función de los datos personales contenidos en los ficheros. Se recomienda su verificación trimestral. 5) Equipos y programas: Revisión de la correcta actualización de los registros de equipos informáticos (hardware) y de los programas informáticos (software). Verificación al que las medidas de seguridad están activas y se aplican. 6) Sistemas y equipos de comunicación: En relación con los sistemas de comunicación de la empresa, deberá revisarse cuales son los que existen, las medidas de seguridad que tiene y los usuarios que tienen acceso a los mismos. También se revisarán los sistemas de cortafuegos (firewalls), si existieran, para verificar su correcto funcionamiento así como los registros de funcionamiento de los mismos para detectar intentos de accesos o accesos no autorizados. 45

6 Se revisarán los sistemas de registro de entrada y salida de datos mediante los sistemas de comunicación, cuando en virtud del nivel de seguridad, debiera de registrarse. 7) Soportes: Se verificará la actualización del registro de soportes, se revisarán los soportes para que todos estén correctamente identificados según el sistema establecido en el Documento de Seguridad, así como si se encuentran en los lugares en los que se han de guardar. También se revisará que los sistemas de distribución de soportes, cifrado o que limitan su legibilidad, funcionen correctamente. Así mismo se revisará la actualización y funcionamiento del registro de entradas y salidas de soportes. 8) Incidencias: Revisión del registro de incidencias. Se comprobará, en su caso, que las incidencias ocurridas se encuentren debidamente registradas y que se hayan adoptado las medidas oportunas. 9) Copias de respaldo y de recuperación: Se revisarán los sistemas de realización de copias de respaldo y de recuperación. Se realizarán pruebas de recuperación de datos desde una copia de seguridad. Se recomienda realizar dichas verificaciones trimestralmente. 10) Informes de funcionamiento: Se comprobará que el responsable de seguridad realiza las revisiones periódicas de los registros de accesos o intentos de acceso para la detección de accesos no autorizados o ilegales. Se revisará la existencia de los informes de dichas revisiones. 11) Auditoría: Se verificará cuando es necesario realizar la auditoría bianual obligatoria para los datos de nivel alto y medio. 12) Tratamiento de datos por cuenta de terceros: En lo s casos que la empresa propietaria de los datos encargue a una tercera empresa o profesional el tratamiento de los datos por su cuenta, será necesario verificar cuales son dichas empresas así como si existen de nuevas. Se verificará que contractualmente se hayan comprometido a adoptar las medidas de seguridad oportunas. Auditorías El Documento de Seguridad deberá incluir un apartado relativo a la auditoría en materia de seguridad de los datos de carácter personal. Los titulares de ficheros con datos de carácter personal, a los que les sea de aplicación las medidas de seguridad de nivel medio, deberán realizar una auditoría bianual para verificar el estado de las medidas de seguridad. La auditoría deberá auditar, verificar o contener los siguientes extremos o elementos: 1) Cumplimiento del Real Decreto 994/1999 por parte de la empresa. 2) Que los procedimientos e instrucciones vigentes en materia de seguridad de datos de carácter personal se cumplan y sean los correctos. 46

7 3) La adecuación de las medidas y controles al Real Decreto 994/ ) Actualización del Documento de Seguridad. 5) Identificar y documentar las posibles deficiencias existentes. 6) Detallar las medidas correctoras o complementarias para corregir cualquier deficiencia o inadecuación de las medidas de seguridad al Real Decreto 994/1999. En todo caso, el informe de auditoría, a parte de revisar o tratar los aspectos relacionados, deberá incluir los documentos, datos o información que se han utilizado para realizarla. Será necesario incluir copia de los documentos revisados o impresión de los elementos consultados. Una vez se haya terminado el informe de auditoría de seguridad en materia de protección de datos, será necesario que el responsable de seguridad lo revise y remita las conclusiones del mismo, así como las medidas necesarias para corregir las posibles deficiencias, en el supuesto que existieran, al responsable de fichero para que actúe en consecuencia. En todo caso, para verificar que se ha cumplido con dichas obligaciones, se deberá disponer de un registro de auditorías, en el que se guarden los informes que deberán estar a disposición de la Agencia de Protección de Datos. Ver modelo de registro en el Anexo VIII. Quién ha de realizar las auditorías de seguridad en materia de medidas de datos personales? El Real Decreto 994/1999 establece que la auditoría podrá ser interna o externa. La auditoría la podrá realizar un trabajador de la propia empresa o se podrá contratar a un tercero para que la realice. En todo caso se recomienda que las auditorías se realicen por personal externo de la empresa para asegurar una mayor imparcialidad en la evaluación de la adecuación de las medidas al Real Decreto 994/1999. Actualmente no está regulado la función del auditor de medidas de seguridad en materia de protección de datos de carácter personal. No existe un registro de auditores. Identificación y autenticación En Documento de Seguridad deberá regular la identificación y autenticación. Además de las medidas de seguridad que se establecen para la identificación y autenticación en las medidas de seguridad de nivel básico, para el acceso a datos de carácter personal de nivel medio, el responsable del fichero, deberá establecer las siguientes medidas extras para la identificación y autenticación: 1) Será necesario que se establezca un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información. Consecuentemente, cada usuario que tenga acceso a los sistemas de información que traten datos de carácter personal de nivel medio, 47

8 tendrá un usuario propio e individualizado, que permita al sistema identificarlo de forma personal entre todas las personas o sistema que tengan acceso a dichos datos. 2) Existirá un sistema de verificación de conforme a la autorización para el acceso a los sistemas de información. 3) Limitación de la posibilidad de intentar reiteradamente el acceso no autorizado a los sistemas de información. El Real Decreto 994/1999 no establece el número de veces que un usuario podrá intentar el acceso. En todo caso se puede establecer un número de intentos entre 3 y 5 como máximo. El sistema deberá registrar los intentos fallidos. Una empresa X que disponga de bases de datos de carácter personal con datos personales de nivel medio, deberá establecer un sistema de claves de acceso en el que cado uno de los usuarios que tenga acceso a dicho fichero o sistema de información tenga su propio usuario para que el sistema reconozca que es una persona concreta la que está accediendo a los datos. Así mismo, en el caso que un usuario no autorizado intentara acceder con su usuario y contraseña, el sistema deberá permitirle 3 intentos de acceso (por ejemplo) y en el caso que no esté autorizado, deberá bloquear el uso de dicho usuario y no permitirle realizar más intentos de acceso. Control de accesos físico El Documento de Seguridad deberá contener un apartado en el que se regule el control de accesos físicos. En el Real Decreto 994/1999 no únicamente se establecen medidas de seguridad informáticas, en dicha disposición normativa, también se establecen medidas de seguridad físicas. En este sentido, solamente podrán acceder a los locales en los que haya sistemas de información que traten datos personales de nivel medio, aquellas personas que de forma expresa hayan sido autorizadas. Para ello, existirá un registro de personas con acceso autorizado, que formará parte del Documento de Seguridad. Ver modelo de relación de personal con acceso autorizado en Anexo IX. Una empresa X tiene una red interna. Dicha empresa entre las bases de datos de carácter personal que tienen ubicadas en su servidor, existen datos personales a los que les son de aplicación las medidas de seguridad de nivel medio. En este supuesto, en los locales en los que esté ubicado el servidor con dichos datos solamente podrán acceder las personas que hayan sido autorizadas de forma expresa y así conste en el Documento de Seguridad. Cuando sea necesario que personas no autorizadas en el registro de personas autorizadas o personas externas a la empresa accedan físicamente a los equipos que tratan, guardan o 48

9 transmiten datos de nivel medio, será el responsable de seguridad quien autorizará su acceso. En todo caso se guardará un registro con dichas autorizaciones. Gestión de Soportes En el Documento de Seguridad se incluirá un apartado con las medidas de seguridad para la gestión de soportes 44. Uno de los elementos más importantes para la correcta adopción de las medidas de seguridad que establece el Real Decreto 994/1999 será la gestión de los soportes. Será necesario que para los soportes que contengan datos de carácter personal de nivel medio se adopten medidas de seguridad específicas que básicamente están encaminadas a evitar la fuga o perdida de datos personales. Es muy común que se adopten correctamente las medidas de seguridad en las oficinas o locales de la empresa, con controles de acceso, con sistemas de identificación de usuarios para la entrada en la red de una oficina, etc., pero es muy fácil que alguien tenga una copia en un CD de ciertos datos personales y que los pueda sacar de la oficina sin problemas. Para evitar que datos de carácter personal salgan o entren de los locales de la empresa sin control de soportes, se establece para los datos personales de nivel medio, las siguientes obligaciones en materia de seguridad: 1) Registro de entrada de soportes: Se establecerá un registro de entrada de soportes informáticos que permita, directa o indirectamente, conocer: Ver modelo de registro de entrada de soportes en el Anexo X. a. El tipo de soporte. Si se trata de un CD, cinta, disquete, etc.. Además si fuera posible, se identificará el soporte en virtud de la referencia que tenga asignada en el registro de soportes. b. La fecha y hora de entrada. c. El emisor. La persona que realizó el envío. d. El número de soportes. e. El tipo de información que contienen. Deberá indicar el fichero del que proceden los datos. f. La forma de envío. g. La persona responsable de la recepción. Se indicará la persona a la que se le envía el soporte. Esta persona deberá estar debidamente autorizada en el Documento de Seguridad, en virtud de los datos que contiene el soporte. 2) Registro de salida de soportes: Se establecerá un registro de salida de soportes informáticos que permita, directa o indirectamente, conocer: Ver modelo de registro de salida de soportes en el Anexo XI. 44 Soporte: objeto físico susceptible de ser tratado en un sistema de información y sobre el cual se pueden grabar o recuperar datos. 49

10 a. El tipo de soporte. Si se trata de un CD, cinta, disquete, etc.. Además si fuera posible, se identificará el soporte en virtud de la referencia que tenga asignada en el registro de soportes. b. La fecha y hora de salida. c. El destinatario. La persona a la que se le envía el soporte. d. El número de soportes. e. El tipo de información que contienen. Deberá indicar el fichero del que proceden los datos. f. La forma de envío. g. La persona responsable de la entrega. Se indicará la persona responsable de la entrega. Esta persona deberá estar debidamente autorizada en el Documento de Seguridad, en virtud de los datos que contiene el soporte. 3) Desechado o reutilización de soportes: Cuando se proceda a desechar un soporte, será necesario que se adopten las medidas necesarias para impedir cualquier recuperación posterior de la información almacenada en él. Así mismo, previamente se procederá a darlo de baja del registro de soportes. 4) Salida de soportes fuera de los locales: En el supuesto que los soportes hayan de salir fuera de los locales en que se encuentren ubicados los ficheros, como consecuencia de operaciones de mantenimiento, será necesario que se adopten las medidas necesarias para impedir cualquier recuperación indebida de la información almacenada en ellos. Registro de incidencias En Real Decreto 994/1999 se establece que para los datos de carácter personal de nivel medio el registro de incidencias que se ha establecido como medida de seguridad de nivel básico, además deberá incluir más información para el supuesto que la incidencia haya afectado a dichos datos. La información que deberá contener el registro de incidencias de nivel medio aparte de la ya indicada para el nivel básico, es la siguiente: 1) Procedimientos realizados de recuperación de los datos. 2) Persona que ejecutó el proceso de recuperación de datos. 3) Los datos restaurados. 4) En su caso, los datos que ha sido necesario grabar manualmente en el proceso de recuperación. 50

11 Así mismo, se establece que para iniciar el procedimiento de recuperación de datos, será necesaria la autorización por escrito del responsable del fichero 45. Ver modelo de registro de incidencias de nivel medio en el Anexo XII. Pruebas con datos reales El Real Decreto 994/1999 establece como medida de seguridad de nivel medio, que en el supuesto que sea necesario realizar pruebas con datos reales de carácter personal de nivel medio, dichas pruebas no podrán realizarse si no se aseguran que dichos datos y sistemas tengan las medidas de seguridad correspondientes al nivel medio. En una empresa X se ha procedido a la instalación de un nuevo programa informático de gestión del departamento de recursos humanos. Dicho programa sirve para gestionar las pruebas de personalidad que se realizan a los aspirantes a cubrir alguna plaza en la empresa. Para verificar su correcto funcionamiento, la empresa Y que realiza la instalación de los nuevos sistemas informáticos, desea realizar pruebas con los datos que había en el antiguo programa informático. Para ello solicita los datos de las pruebas de personalidad para introducirlos en el nuevo programa informático. Para realizar dicha comprobación, será necesario que previamente se cumplan los siguientes requisitos: 1. Deberá asegurarse que los sistemas de información que traten dichos datos, incluido el nuevo programa tenga aplicadas las medidas de seguridad de nivel medio. 2. También será necesario que se firme un contrato de tratamiento de datos por cuenta del responsable del fichero, ya que la empresa Y que realiza la instalación del nuevo programa tendrá acceso, para su tratamiento, a datos de carácter personal de la empresa X para realizar las pruebas. En una empresa X se han adquirido nuevos equipos informáticos (PC) para la gestión del departamento de recursos de sanciones administrativas. Los datos relativos a informaciones administrativas, son datos a los que se les han de aplicar las medidas de seguridad de nivel medio. En el supuesto que la empresa Y, que ha vendido los ordenadores, también se encargue de su instalación y puesta en marcha, comprobando el correcto funcionamiento de las bases de datos instaladas, será necesario que se cumplan los siguientes requisitos: 1. Deberá asegurarse que los sistemas de información que traten dichos datos, incluidos los nuevos ordenadores, tenga aplicadas las medidas de seguridad de nivel medio. 45 Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. 51

12 2. También será necesario que se firme un contrato de tratamiento de datos por cuenta del responsable del fichero, ya que la empresa Y que realiza la instalación y puesta a punto de los nuevos ordenadores, tendrá acceso, a datos de carácter personal de la empresa X para realizar las pruebas. Debido a la dependencia de las empresas de los sistemas informáticos que tratan sus datos, entre los que se encuentran los datos de carácter personal, es muy habitual que antes de la entrada en funcionamiento de nuevos programas informáticos, equipos informáticos o nuevas aplicaciones online de gestión, se realicen muchas pruebas para verificar su correcto funcionamiento. Para todos estos supuestos es muy recomendable que siempre que se pueda se utilicen datos ficticios o se disocien para evitar que sea necesario adoptar grandes medidas de seguridad, así como para evitar que se produzca alguna pérdida de datos personales. Para la realización de pruebas de nuevos sistemas informáticos en los que se traten datos de carácter personal es muy habitual que las empresas deseen realizar pruebas con datos reales ya que es la mejor forma de verificar el correcto funcionamiento de las nuevas aplicaciones. En el supuesto que los datos que se traten requieran medidas de seguridad de nivel medio, puede complicar las pruebas. Para facilitar dichas pruebas se aconseja que se omitan los nombres de las persona que figuran en la bases de datos y se substituyan por códigos, que hagan imposible identificar de forma directa o indirecta a dichas personas. De esta forma, no sería necesario adoptar las medidas de seguridad establecidas en el Real Decreto 994/

REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES

REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES Artículo 1.- Ámbito de aplicación y fines. El presente Reglamento

Más detalles

REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL

REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL 13967 REAL DECRETO 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal. El artículo 18.4 de la Constitución

Más detalles

Medidas de seguridad ficheros automatizados

Medidas de seguridad ficheros automatizados RECOMENDACIÓN SOBRE MEDIDAS DE SEGURIDAD A APLICAR A LOS DATOS DE CARÁCTER PERSONAL RECOGIDOS POR LOS PSICÓLOGOS Para poder tratar datos de carácter personal en una base de datos adecuándose a la Ley 15/1999,

Más detalles

COMO AUDITAR EL CUMPLIMIENTO DE LA LORTAD /LOPD / REGLAMENTO DE SEGURIDAD. Rafael Bernal, CISA. Universidad Politécnica de Valencia

COMO AUDITAR EL CUMPLIMIENTO DE LA LORTAD /LOPD / REGLAMENTO DE SEGURIDAD. Rafael Bernal, CISA. Universidad Politécnica de Valencia COMO AUDITAR EL CUMPLIMIENTO DE LA LORTAD /LOPD / REGLAMENTO DE SEGURIDAD Rafael Bernal, CISA Universidad Politécnica de Valencia El Reglamento de medidas de seguridad exige para los ficheros de nivel

Más detalles

En el artículo del mes pasado,

En el artículo del mes pasado, 144 UNE ISO/IEC 27001: 2005 & LOPD (II) EN ESTE NÚMERO PRESENTAMOS LA TABLA COMPLETA, EN LA CUAL SE RELACIONAN TODOS LOS S DE ESTE NUEVO REGLAMENTO Alejandro Corletti DIRECTOR DIVISIÓN SEGURIDAD INFORMÁTICA

Más detalles

CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD

CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD BUCARAMANGA - COLOMBIA 2013 INTRODUCCIÓN El presente Documento, ha sido redactado en cumplimiento de lo dispuesto en la Ley 1581 de 2012 y el Decreto

Más detalles

ANEXO II. Los datos facilitados no serán incorporados a sistemas o soportes distintos de los del responsable del fichero.

ANEXO II. Los datos facilitados no serán incorporados a sistemas o soportes distintos de los del responsable del fichero. ANEXO II COMPROMISO RELATIVO AL TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL, DE OBLIGADA ACEPTACIÓN PARA AQUELLAS ENTIDADES QUE OBTENGAN LA CONDICIÓN DE ENTIDAD COLABORADORA DE LANBIDE-SERVICIO VASCO DE

Más detalles

GUÍA PRÁCTICA. para la utilización de muestras biológicas en Investigación Biomédica

GUÍA PRÁCTICA. para la utilización de muestras biológicas en Investigación Biomédica GUÍA PRÁCTICA para la utilización de muestras biológicas en Investigación Biomédica IV. GESTIÓN DE BASES DE DATOS 1. La creación de ficheros y su notificación 2. El responsable y el encargado del tratamiento

Más detalles

Ley de Protección de Datos

Ley de Protección de Datos Ley de Protección de Datos Os informamos de las obligaciones y plazos que la normativa en esta materia nos impone para los ficheros de clientes que tenemos en nuestras consultas dentales: En primer lugar,

Más detalles

Todos los derechos están reservados.

Todos los derechos están reservados. Este documento y todos su contenido, incluyendo los textos, imágenes, sonido y cualquier otro material, son propiedad de ISMS Forum o de algún organismo vinculado a ésta, o de terceros que hayan autorizado

Más detalles

Segundo Taller Práctico LOPD: Obligaciones técnico-organizativas y medidas de seguridad. Documento de Seguridad. Auditorías bienales

Segundo Taller Práctico LOPD: Obligaciones técnico-organizativas y medidas de seguridad. Documento de Seguridad. Auditorías bienales Segundo Taller Práctico LOPD: Obligaciones técnico-organizativas y medidas de seguridad. Documento de Seguridad. Auditorías bienales Vitoria Gasteiz a 9 de julio de 2.014 Objetivos específicos de este

Más detalles

Las medidas de seguridad en el Reglamento RD-1720/2007. El cumplimiento de la seguridad en la LOPD, paso a paso

Las medidas de seguridad en el Reglamento RD-1720/2007. El cumplimiento de la seguridad en la LOPD, paso a paso Las medidas de seguridad en el Reglamento RD-1720/2007 El cumplimiento de la seguridad en la LOPD, paso a paso Resumen de principales novedades 1 Se incluye el concepto de tratamiento no automatizado (ficheros

Más detalles

Ley Orgánica de Protección de Datos

Ley Orgánica de Protección de Datos Hécate GDocS Gestión del documento de seguridad Ley Orgánica de Protección de Datos 2005 Adhec - 2005 EFENET 1. GDocS - Gestión del Documento de Seguridad GDocS es un programa de gestión que permite mantener

Más detalles

AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS MODELO DE DOCUMENTO DE SEGURIDAD

AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS MODELO DE DOCUMENTO DE SEGURIDAD AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS MODELO DE DOCUMENTO DE SEGURIDAD Versión 1.0 Abril 2005 INTRODUCCIÓN El artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter

Más detalles

5.1 REGISTRO DE FICHEROS... 5. 5.1.1 Análisis de los datos tratados... 5 5.1.2 Inscripción de los ficheros... 5

5.1 REGISTRO DE FICHEROS... 5. 5.1.1 Análisis de los datos tratados... 5 5.1.2 Inscripción de los ficheros... 5 1 INTRODUCCION... 3 2 PROTECCIÓN DE DATOS... 4 3 NORMATIVA BÁSICA REGULADORA... 4 4 AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS... 4 5 OBLIGACIONES DE LAS EMPRESAS.... 5 5.1 REGISTRO DE FICHEROS... 5 5.1.1

Más detalles

AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS MODELO DE DOCUMENTO DE SEGURIDAD

AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS MODELO DE DOCUMENTO DE SEGURIDAD AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS MODELO DE DOCUMENTO DE SEGURIDAD Versión 1.0 Abril 2005 INTRODUCCIÓN El artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter

Más detalles

Dossier i-card Access y LOPD

Dossier i-card Access y LOPD I-CARD SOFTWARE Dossier i-card Access y LOPD Aplicaciones sobre el Reglamento de Medidas de Seguridad 02/01/2007 1. Reglamento de Medidas de Seguridad y Aplicaciones de i-card Access (pág. 3) 2. Configuraciones

Más detalles

L.O.P.D. Ley Orgánica de Protección de Datos

L.O.P.D. Ley Orgánica de Protección de Datos L.O.P.D. Ley Orgánica de Protección de Datos Texto de la ley El artículo 18.4 de la Constitución Española establece que la ley limitará el uso de la informática para garantizar el honor y la intimidad

Más detalles

Marco normativo para el establecimiento de las medidas de seguridad

Marco normativo para el establecimiento de las medidas de seguridad Marco normativo para el establecimiento de las medidas de seguridad Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre,

Más detalles

Aviso Legal. Entorno Digital, S.A.

Aviso Legal. Entorno Digital, S.A. Aviso Legal En relación al cumplimiento de la Ley de Protección de Datos, le informamos que los datos personales facilitados por Ud. en cualquiera de los formularios incluidos en este sitio web son incluidos

Más detalles

Diputación de Albacete. Paseo Libertad, 5. 02001. Albacete. Tel. 967595300. Fax. 967520316. Guía

Diputación de Albacete. Paseo Libertad, 5. 02001. Albacete. Tel. 967595300. Fax. 967520316. Guía Diputación de Albacete. Paseo Libertad, 5. 02001. Albacete. Tel. 967595300. Fax. 967520316 Guía 12 Obligaciones del responsable de seguridad exigibles por la LOPD Cesión de datos Es cesión o comunicación

Más detalles

Gabinete Jurídico. Informe 0545/2009

Gabinete Jurídico. Informe 0545/2009 Informe 0545/2009 La consulta plantea diversas dudas respecto a la aplicación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), a la prestación

Más detalles

MANUAL DE AYUDA TAREA PROGRAMADA COPIAS DE SEGURIDAD

MANUAL DE AYUDA TAREA PROGRAMADA COPIAS DE SEGURIDAD MANUAL DE AYUDA TAREA PROGRAMADA COPIAS DE SEGURIDAD Fecha última revisión: Diciembre 2010 Tareas Programadas TAREAS PROGRAMADAS... 3 LAS TAREAS PROGRAMADAS EN GOTELGEST.NET... 4 A) DAR DE ALTA UN USUARIO...

Más detalles

DOCUMENTO DE SEGURIDAD EMPRESA DE EJEMPLO SL

DOCUMENTO DE SEGURIDAD EMPRESA DE EJEMPLO SL DOCUMENTO DE SEGURIDAD EMPRESA DE EJEMPLO SL Fecha de version: 27/02/2008 El presente Documento y sus Anexos, redactados en cumplimiento de lo dispuesto en el Reglamento de Medidas de Seguridad (Real Decreto

Más detalles

MODELO DOCUMENTO DE SEGURIDAD

MODELO DOCUMENTO DE SEGURIDAD MODELO DOCUMENTO DE SEGURIDAD Responsable del Fichero...... Nombre del Fichero...... Nº de Inscripción... Nº de la Versión... Fecha... ÍNDICE 1. Objeto del documento 2. Ámbito de aplicación 3. Recursos

Más detalles

DOCUMENTO DE SEGURIDAD

DOCUMENTO DE SEGURIDAD CÁMARA DE COMERCIO DE OCAÑA DOCUMENTO DE SEGURIDAD Ocaña Norte de Santander 2014 INTRODUCCIÓN El presente Documento, ha sido redactado en cumplimiento de lo dispuesto en la Ley 1581 de 2012 y el Decreto

Más detalles

LA FIGURA DEL DELEGADO DE PROTECCIÓN DE DATOS EN LA PROPUESTA DE REGLAMENTO.

LA FIGURA DEL DELEGADO DE PROTECCIÓN DE DATOS EN LA PROPUESTA DE REGLAMENTO. LA FIGURA DEL DELEGADO DE PROTECCIÓN DE DATOS EN LA PROPUESTA DE REGLAMENTO. Editado por el Departamento de Publicaciones del IE. María de Molina 13, 28006 Madrid, España. ahora: RESPONSABLE DE SEGURIDAD

Más detalles

C/ ACEBO 33 POZUELO DE ALARCON 28224 - MADRID TELEFONO (91) 715 59 55. Curso

C/ ACEBO 33 POZUELO DE ALARCON 28224 - MADRID TELEFONO (91) 715 59 55. Curso CEDS CENTRO DE ESTUDIOS Y DISEÑO DE SISTEMAS C/ ACEBO 33 POZUELO DE ALARCON 28224 - MADRID TELEFONO (91) 715 59 55 Curso Proyectos de Adecuación de los Sistemas Informáticos a la LOPD, RD 1720:2007 y LSSI

Más detalles

Una Inversión en Protección de Activos

Una Inversión en Protección de Activos DERECHO A LA INTIMIDAD Le ayudamos a garantizar y proteger las libertades públicas y los derechos fundamentales de las personas físicas SEGURIDAD DE LA INFORMACION Auditoria Bienal LOPD Una Inversión en

Más detalles

Informe Jurídico 0494/2008

Informe Jurídico 0494/2008 Informe Jurídico 0494/2008 La consulta plantea si es necesario para las empresas del grupo consultante formalizar un contrato con la central donde se encuentra la base de datos de los empleados del grupo

Más detalles

AUD 008-2014. Estudio de Auditoría 008-2014 Verificación del Licenciamiento del Software equipo de MIDEPLAN Decreto Ejecutivo Nº 37549-JP

AUD 008-2014. Estudio de Auditoría 008-2014 Verificación del Licenciamiento del Software equipo de MIDEPLAN Decreto Ejecutivo Nº 37549-JP AUD 008-2014 Estudio de Auditoría 008-2014 Verificación del Licenciamiento del Software equipo de MIDEPLAN Decreto Ejecutivo Nº 37549-JP JUNIO 2014 0 I.- INFORMACIÓN GENERAL 1.1 Nombre del Estudio Verificación

Más detalles

GUÍA de Seguridad de Datos 1

GUÍA de Seguridad de Datos 1 GUÍA de Seguridad de Datos 1 Indice GUÍA MODELO DEL DOCUMENTO DE SEGURIDAD INTRODUCCIÓN MODELO DE DOCUMENTO DE SEGURIDAD 1. ÁMBITO DE APLICACIÓN DEL DOCUMENTO 2. MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS

Más detalles

GUÍA de Seguridad de Datos 1

GUÍA de Seguridad de Datos 1 GUÍA de Seguridad de Datos 1 Indice GUÍA MODELO DEL DOCUMENTO DE SEGURIDAD INTRODUCCIÓN MODELO DE DOCUMENTO DE SEGURIDAD 1. ÁMBITO DE APLICACIÓN DEL DOCUMENTO 2. MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS

Más detalles

Guía de Medidas de Seguridad

Guía de Medidas de Seguridad Guía de Artículo 29. Los entes públicos establecerán las medidas de seguridad técnica y organizativa para garantizar la confidencialidad e integridad de cada sistema de datos personales que posean Las

Más detalles

1 El plan de contingencia. Seguimiento

1 El plan de contingencia. Seguimiento 1 El plan de contingencia. Seguimiento 1.1 Objetivos generales Los objetivos de este módulo son los siguientes: Conocer los motivos de tener actualizado un plan de contingencia. Comprender que objetivos

Más detalles

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2 Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...

Más detalles

PLIEGO DE CONDICIONES TECNICAS QUE REGIRÁ LA ADJUDICACIÓN DEL CONTRATO DEL SERVICIO DE ASISTENCIA PSICOLÓGICA INDIVIDUALIZADA A MUJERES

PLIEGO DE CONDICIONES TECNICAS QUE REGIRÁ LA ADJUDICACIÓN DEL CONTRATO DEL SERVICIO DE ASISTENCIA PSICOLÓGICA INDIVIDUALIZADA A MUJERES PLIEGO DE CONDICIONES TECNICAS QUE REGIRÁ LA ADJUDICACIÓN DEL CONTRATO DEL SERVICIO DE ASISTENCIA PSICOLÓGICA INDIVIDUALIZADA A MUJERES CLÁUSULA 1.- OBJETO DEL PLIEGO Constituye el objeto del presente

Más detalles

Gabinete Jurídico. Informe 0574/2009

Gabinete Jurídico. Informe 0574/2009 Informe 0574/2009 La consulta plantea diversas dudas respecto a la aplicación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), a la prestación

Más detalles

IAP 1005 - CONSIDERACIONES PARTICULARES SOBRE LA AUDITORÍA DE LAS EMPRESAS DE REDUCIDA DIMENSIÓN

IAP 1005 - CONSIDERACIONES PARTICULARES SOBRE LA AUDITORÍA DE LAS EMPRESAS DE REDUCIDA DIMENSIÓN IAP 1005 - CONSIDERACIONES PARTICULARES SOBRE LA AUDITORÍA DE LAS EMPRESAS DE REDUCIDA DIMENSIÓN Introducción 1. Las Normas Internacionales de Auditoría (NIA) se aplican a la auditoría de la información

Más detalles

INFORME: PROTECCION DE DATOS OBLIGACIONES Y SANCIONES

INFORME: PROTECCION DE DATOS OBLIGACIONES Y SANCIONES Noviembre 2002 INFORME: PROTECCION DE DATOS OBLIGACIONES Y SANCIONES OBLIGACIONES LEGALES DE LA NORMATIVA DE PROTECCION DE DATOS: Inscripción de los ficheros: Toda empresa que para el logro de su actividad

Más detalles

Recomendaciones relativas a la continuidad del negocio 1

Recomendaciones relativas a la continuidad del negocio 1 Recomendaciones relativas a la continuidad del negocio 1 La continuidad de un negocio podría definirse como la situación en la que la operativa de una entidad tiene lugar de forma continuada y sin interrupción.

Más detalles

4.4.1 Servicio de Prevención Propio.

4.4.1 Servicio de Prevención Propio. 1 Si se trata de una empresa entre 250 y 500 trabajadores que desarrolla actividades incluidas en el Anexo I del Reglamento de los Servicios de Prevención, o de una empresa de más de 500 trabajadores con

Más detalles

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene

Más detalles

Según el artículo 4.1 de la Ley Orgánica, Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como.

Según el artículo 4.1 de la Ley Orgánica, Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como. Informe 0324/2009 La consulta plantea la posibilidad de implantar un sistema para el control horario de los trabajadores basado en la lectura de la huella digital y su conformidad con lo dispuesto en la

Más detalles

METODOLOGIAS DE AUDITORIA INFORMATICA

METODOLOGIAS DE AUDITORIA INFORMATICA METODOLOGIAS DE AUDITORIA INFORMATICA Auditoria Informatica.- Certifica la integridad de los datos informaticos que usan los auditores financieros para que puedan utilizar los sistemas de información para

Más detalles

Norma de Seguridad: Cláusulas LOPD con acceso a datos, de los que la Diputación Foral de Bizkaia es encargada de tratamiento

Norma de Seguridad: Cláusulas LOPD con acceso a datos, de los que la Diputación Foral de Bizkaia es encargada de tratamiento 1. OBJETO 2. ALCANCE Cumplimiento del artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, y el artículo 21 del Real Decreto 1720/2007 (LOPD). Todos

Más detalles

Operación 8 Claves para la ISO 9001-2015

Operación 8 Claves para la ISO 9001-2015 Operación 8Claves para la ISO 9001-2015 BLOQUE 8: Operación A grandes rasgos, se puede decir que este bloque se corresponde con el capítulo 7 de la antigua norma ISO 9001:2008 de Realización del Producto,

Más detalles

1.- Objetivo y descripción del funcionamiento

1.- Objetivo y descripción del funcionamiento INFORME SOBRE LA PROTECCIÓN DE DATOS LIVECAM-PRO S.L. 1.- Objetivo y descripción del funcionamiento El presente informe tiene por objetivo elaborar recomendaciones y establecer pautas encaminadas a informar

Más detalles

Gestión de la Prevención de Riesgos Laborales. 1

Gestión de la Prevención de Riesgos Laborales. 1 UNIDAD Gestión de la Prevención de Riesgos Laborales. 1 FICHA 1. LA GESTIÓN DE LA PREVENCIÓN DE RIESGOS LABORALES. FICHA 2. EL SISTEMA DE GESTIÓN DE LA PREVENCIÓN DE RIESGOS LABORALES. FICHA 3. MODALIDAD

Más detalles

BOLETÍN OFICIAL DEL ESTADO

BOLETÍN OFICIAL DEL ESTADO Núm. 146 Miércoles 19 de junio de 2013 Sec. I. Pág. 46150 I. DISPOSICIONES GENERALES COMISIÓN NACIONAL DEL MERCADO DE VALORES 6658 Circular 3/2013, de 12 de junio, de la Comisión Nacional del Mercado de

Más detalles

IAP 1009 - TÉCNICAS DE AUDITORÍA APOYADAS EN ORDENADOR (TAAO)

IAP 1009 - TÉCNICAS DE AUDITORÍA APOYADAS EN ORDENADOR (TAAO) IAP 1009 - TÉCNICAS DE AUDITORÍA APOYADAS EN ORDENADOR (TAAO) Introducción 1. Como se indica en la Norma Internacional de Auditoría 401, "Auditoría en un contexto informatizado", los objetivos globales

Más detalles

Anexo I. Politicas Generales de Seguridad del proyecto CAT

Anexo I. Politicas Generales de Seguridad del proyecto CAT Anexo I Politicas Generales de Seguridad del proyecto CAT 1 Del Puesto de Servicio. Se requiere mantener el Puesto de Servicio: a) Disponible, entendiendo por ello que el Puesto de Servicio debe estar

Más detalles

El artículo 45 del Reglamento antes citado, desarrolla este precepto, precisando lo siguiente:

El artículo 45 del Reglamento antes citado, desarrolla este precepto, precisando lo siguiente: Informe 0105/2010 La consulta plantea si resulta conforme a la normativa de protección de datos el envío de comunicaciones publicitarias, relativas a los servicios que presta la empresa consultante, a

Más detalles

REGLAMENTO DE DESARROLLO LOPD V:1.0 2008-02-05 Agencia Vasca de Protección de Datos Registro de Ficheros y NNTT

REGLAMENTO DE DESARROLLO LOPD V:1.0 2008-02-05 Agencia Vasca de Protección de Datos Registro de Ficheros y NNTT REGLAMENTO DE DESARROLLO LOPD RESUMEN DE LAS M REGLAMENTO RD-1720/2007 MEDIDAS DE SEGURIDAD EN EL V:1.0 2008-02-05 Agencia Vasca de Protección de Datos Registro de Ficheros y NNTT c/ Beato Tomás de Zumárraga,

Más detalles

2.11.1 CONTRATAS Y SUBCONTRATAS NOTAS

2.11.1 CONTRATAS Y SUBCONTRATAS NOTAS NOTAS 1 Cuando en un mismo centro de trabajo desarrollen actividades trabajadores de dos o más empresas, éstas deberán cooperar en la aplicación de la normativa sobre prevención de riesgos laborales. A

Más detalles

ESTATUTO DE AUDITORIA LOPD PARA EL AYUNTAMIENTO DE ZARZADILLA DE PAR

ESTATUTO DE AUDITORIA LOPD PARA EL AYUNTAMIENTO DE ZARZADILLA DE PAR ESTATUTO DE AUDITORIA LOPD PARA EL AYUNTAMIENTO DE ZARZADILLA DE PAR LA LOPD Y SU ÁMBITO DE APLICACIÓN La Ley Orgánica de Protección de Datos (LOPD) se aplica a todos los datos de carácter personal registrados

Más detalles

Gabinete Jurídico. Informe 0049/2009

Gabinete Jurídico. Informe 0049/2009 Informe 0049/2009 La consulta plantea dudas acerca de la necesidad de solicitar el consentimiento de los arquitectos y aparejadores que prestan servicios para la consultante, para poder ceder sus datos

Más detalles

Instrucciones LOPD -ONline

Instrucciones LOPD -ONline Instrucciones LOPD -ONline Contenido Instrucciones LOPD -ONline... 1 Introducción... 2 Inicio... 3 Identificación de la empresa... 5 Identificación de datos personales... 6 Relación de personal que accede

Más detalles

Norma Internacional ISO 9001:2008: Sistemas de Gestión de la Calidad- Requisitos. 4. Sistema de Gestión de la Calidad

Norma Internacional ISO 9001:2008: Sistemas de Gestión de la Calidad- Requisitos. 4. Sistema de Gestión de la Calidad Norma Internacional ISO 9001:2008: Sistemas de Gestión de la Calidad- Requisitos 4. Sistema de Gestión de la Calidad Figura N 1. Estructura del capítulo 4, Norma ISO 9001:2008. La Norma ISO 9001: 2008

Más detalles

Servicio de Alta, Baja, Modificación y Consulta de usuarios Medusa

Servicio de Alta, Baja, Modificación y Consulta de usuarios Medusa Documentos de Proyecto Medusa Documentos de: Serie: Manuales Servicio de Alta, Baja, Modificación y Consulta del documento: Fecha 22 de febrero de 2007 Preparado por: José Ramón González Luis Aprobado

Más detalles

6. RESPONSABILIDADES DE LOS PRESTADORES DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN

6. RESPONSABILIDADES DE LOS PRESTADORES DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN 28 6. RESPONSABILIDADES DE LOS PRESTADORES DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN 6.1 Responsabilidad general Las empresas o profesionales que ofrezcan servicios de la sociedad de la información

Más detalles

Auditoría de los Sistemas de Gestión de Prevención de Riesgos Laborales

Auditoría de los Sistemas de Gestión de Prevención de Riesgos Laborales Auditoría de los Sistemas de Gestión de Prevención de Olga Gómez García Técnico Superior de Prevención de 20/12/2012 Dirección de Prevención de IBERMUTUAMUR Fecha: 20/12/2012 Versión: 1 AUTOR: Olga Gómez

Más detalles

LEY DE PROTECCIÓN DE DATOS: EMPRESA PRIVADA

LEY DE PROTECCIÓN DE DATOS: EMPRESA PRIVADA LEY DE PROTECCIÓN DE DATOS: EMPRESA PRIVADA DOCUMENTO DE SEGURIDAD Módulo 2/ Unidad 3 ÍNDICE DE CONTENIDOS 1.- INTRODUCCIÓN... 3 2.- OBJETIVOS... 3 3.- JUSTIFICACIÓN... 5 4.- CONTENIDO... 6 5.- FORMA DEL

Más detalles

La Empresa. PSST 4.4.5 01 Control de la Documentación Norma OHSAS 18001:2007

La Empresa. PSST 4.4.5 01 Control de la Documentación Norma OHSAS 18001:2007 5.3.6 PSST 4.4.5 01 Control de la Documentación La Empresa PSST 4.4.5 01 Control de la Documentación Norma OHSAS 18001:2007 REGISTRO DE REVISIONES DE ESTE PROCEDIMIENTO Fecha Revisión Descripción de la

Más detalles

MODELO DE CLÁUSULA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y MEDIDAS DE SEGURIDAD

MODELO DE CLÁUSULA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y MEDIDAS DE SEGURIDAD MODELO DE CLÁUSULA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y MEDIDAS DE SEGURIDAD 1. Prestaciones y propiedad de los datos En el contexto de la prestación de servicios encargada por..y con la finalidad

Más detalles

Master en Gestion de la Calidad

Master en Gestion de la Calidad Master en Gestion de la Calidad Registros de un Sistema de Gestion de la Calidad Manual, procedimientos y registros 1 / 9 OBJETIVOS Al finalizar esta unidad didáctica será capaz: Conocer que es un registro

Más detalles

Módulo 7: Los activos de Seguridad de la Información

Módulo 7: Los activos de Seguridad de la Información Módulo 7: Los activos de Seguridad de la Información Se explica en este tema cómo deben abordarse la elaboración de un inventario de activos que recoja los principales activos de información de la organización,

Más detalles

2. Requisitos para la designación como laboratorio para el control oficial

2. Requisitos para la designación como laboratorio para el control oficial DESIGNACIÓN DE LOS LABORATORIOS DE CONTROL OFICIAL PARA LOS PRODUCTOS ALIMENTICIOS Y MATERIALES EN CONTACTO CON LOS ALIMENTOS PROCEDENTES DE TERCEROS PAÍSES 1. Introducción De acuerdo con el Reglamento

Más detalles

Facilitar el cumplimiento de la LOPD

Facilitar el cumplimiento de la LOPD Medidas de Evento protección sobre Protección en la gestión y Monitorización de los datos de la Seguridad de Medidas de protección en la gestión de los datos María José Blanco Antón Subdirectora General

Más detalles

INTRODUCCIÓN CONTENIDO

INTRODUCCIÓN CONTENIDO Página 1 de 9 INTRODUCCIÓN El presente Documento, ha sido redactado en cumplimiento de lo dispuesto en la Ley 1581 de 2012 y el Decreto Reglamentario 1377 de 2013 el cual recoge las medidas de índole técnica

Más detalles

d. En la cuarta hipótesis, el responsable del tratamiento establecido

d. En la cuarta hipótesis, el responsable del tratamiento establecido Informe 0224/2011 Se plantean diversas dudas respecto de la normativa nacional aplicable al supuesto objeto de consulta, en el cual la empresa consultante actuaría como encargada del tratamiento prestando

Más detalles

Ministerio de Comunicaciones, Infraestructura y Vivienda Normas y Políticas de Uso de Hardware y Software

Ministerio de Comunicaciones, Infraestructura y Vivienda Normas y Políticas de Uso de Hardware y Software Ministerio de Comunicaciones, Infraestructura y Vivienda Normas y Políticas de Uso de Hardware y Software Preliminares Para efectos del presente documento, a la Entidad de Tecnología e Informática (Dirección

Más detalles

AMERIS CAPITAL ADMINISTRADORA GENERAL DE FONDOS S.A. MANUAL DE MANEJO DE INFORMACIÓN DE INTERÉS PARA EL MERCADO

AMERIS CAPITAL ADMINISTRADORA GENERAL DE FONDOS S.A. MANUAL DE MANEJO DE INFORMACIÓN DE INTERÉS PARA EL MERCADO AMERIS CAPITAL ADMINISTRADORA GENERAL DE FONDOS S.A. MANUAL DE MANEJO DE INFORMACIÓN DE INTERÉS PARA EL MERCADO 1 I. ASPECTOS GENERALES 1. Objeto. Ameris Capital Administradora General de Fondos S.A. (en

Más detalles

LINEAMIENTOS PARA LA CANCELACIÓN TOTAL DE SISTEMAS DE DATOS PERSONALES DEL INSTITUTO ELECTORAL DEL ESTADO DE MÉXICO CAPÍTULO I DISPOSICIONES GENERALES

LINEAMIENTOS PARA LA CANCELACIÓN TOTAL DE SISTEMAS DE DATOS PERSONALES DEL INSTITUTO ELECTORAL DEL ESTADO DE MÉXICO CAPÍTULO I DISPOSICIONES GENERALES LINEAMIENTOS PARA LA CANCELACIÓN TOTAL DE SISTEMAS DE DATOS PERSONALES DEL INSTITUTO ELECTORAL DEL ESTADO DE MÉXICO CAPÍTULO I DISPOSICIONES GENERALES Artículo 1. Los presentes Lineamientos tienen por

Más detalles

Condiciones de servicio de Portal Expreso RSA

Condiciones de servicio de Portal Expreso RSA Condiciones de servicio de Portal Expreso RSA Le damos la bienvenida a Portal Expreso RSA 1. Su relación con Portal Expreso RSA 1.1 El uso que el usuario haga de la información, software, servicios prestados

Más detalles

AUDITORIAS EN PREVENCIÓN DE RIESGOS LABORALES. SERVICIO TÉCNICO DE ASISTENCIA PREVENTIVA U.G.T. Castilla y León.

AUDITORIAS EN PREVENCIÓN DE RIESGOS LABORALES. SERVICIO TÉCNICO DE ASISTENCIA PREVENTIVA U.G.T. Castilla y León. AUDITORIAS EN PREVENCIÓN DE RIESGOS LABORALES. SERVICIO TÉCNICO DE ASISTENCIA PREVENTIVA U.G.T. Castilla y León. AUDITORIAS EN PREVENCIÓN DE RIESGOS LABORALES. En palabras de la Nota Técnica de Prevención

Más detalles

LEY ORGÁNICA DE PROTECCIÓN DE DATOS (LOPD)

LEY ORGÁNICA DE PROTECCIÓN DE DATOS (LOPD) LEY ORGÁNICA DE PROTECCIÓN DE DATOS (LOPD) TEMA 7 Travesía del Monzón, 16 28220 Majadahonda (Madrid) Telf. 91 634 48 00 Fax. 91 634 16 58 www.belt.es marketing@belt.es Índice 1. REGLAMENTO DE DESARROLLO

Más detalles

MINISTERIO DE JUSTICIA

MINISTERIO DE JUSTICIA BOE núm. 151 Viernes 25 junio 1999 24241 Artículo 19. Entrada en vigor y duración. 1. El presente Acuerdo se aplicará provisionalmente a partir de la fecha de su firma y entrará en vigor en la fecha de

Más detalles

Gabinete Jurídico. Informe 0183/2009

Gabinete Jurídico. Informe 0183/2009 Informe 0183/2009 La consulta plantea como debe actuarse para, en casos concretos, mantener en secreto el dato del domicilio de las victimas de violencia de género o restringir su acceso a determinados

Más detalles

ANEXO III OBLIGACIONES DEL INDUSTRIAL

ANEXO III OBLIGACIONES DEL INDUSTRIAL ANEXO III OBLIGACIONES DEL INDUSTRIAL NOTIFICACIÓN ANEXO III OBLIGACIONES DEL INDUSTRIAL Todos los industriales cuyos establecimientos estén afectados por el RD 1254/1999 están obligados a enviar una notificación

Más detalles

DECLARACIÓN DE PRIVACIDAD DE FONOWEB

DECLARACIÓN DE PRIVACIDAD DE FONOWEB DECLARACIÓN DE PRIVACIDAD DE FONOWEB Fonoweb se compromete a respetar su privacidad y la confidencialidad de su información personal, los datos de las comunicaciones y el contenido de las comunicaciones

Más detalles

Modelo de Política de Privacidad

Modelo de Política de Privacidad Queda prohibido cualquier tipo de explotación y, en particular, la reproducción, distribución, comunicación pública y/o transformación, total o parcial, por cualquier medio, de este documento sin el previo

Más detalles

Jornada informativa Nueva ISO 9001:2008

Jornada informativa Nueva ISO 9001:2008 Jornada informativa Nueva www.agedum.com www.promalagaqualifica.es 1.1 Generalidades 1.2 Aplicación Nuevo en Modificado en No aparece en a) necesita demostrar su capacidad para proporcionar regularmente

Más detalles

Ficheros creados al amparo de la Ley 12/2003, de 21 de mayo, de prevención y bloqueo de la financiación del terrorismo.

Ficheros creados al amparo de la Ley 12/2003, de 21 de mayo, de prevención y bloqueo de la financiación del terrorismo. Ficheros creados al amparo de la Ley 12/2003, de 21 de mayo, de prevención y bloqueo de la financiación del terrorismo. Informe 364/2006 La consulta plantea, si le resulta de aplicación al tratamiento

Más detalles

SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN Política General de Seguridad aplicable al usuario final del SCS

SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN Política General de Seguridad aplicable al usuario final del SCS SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN Política General de Seguridad aplicable al usuario final del SCS A través de las Políticas de Seguridad recogidas en el Documento de Seguridad se describen las

Más detalles

PROCEDIMIENTO PARA LA GESTIÓN DE INCIDENCIAS

PROCEDIMIENTO PARA LA GESTIÓN DE INCIDENCIAS Página : 1 de 10 PROCEDIMIENTO PARA LA Esta es una copia no controlada si carece de sello en el reverso de sus hojas, en cuyo caso se advierte al lector que su contenido puede ser objeto de modificaciones

Más detalles

Guía sobre los cambios del nuevo sitio Web de Central Directo

Guía sobre los cambios del nuevo sitio Web de Central Directo Guía sobre los cambios del nuevo sitio Web de Central Directo Con el respaldo del La presente guía contiene información sobre los cambios que introduce la puesta en funcionamiento del nuevo sitio Web de

Más detalles

LOPD EN L A E M P R E S A

LOPD EN L A E M P R E S A B o l etí n 08/ 1 4 LOPD EN L A E M P R E S A A U T O R : J U L I O C É S A R M I G U E L P É R E Z LA LOPD EN EL DÍA A DÍA Cuándo he de actualizar el Documento de Seguridad? La LOPD establece que el Documento

Más detalles

PLAN DE INSPECCIÓN DE OFICIO SOBRE TRATAMIENTO DE DATOS PERSONALES EN LABORATORIOS HOSPITALARIOS

PLAN DE INSPECCIÓN DE OFICIO SOBRE TRATAMIENTO DE DATOS PERSONALES EN LABORATORIOS HOSPITALARIOS PLAN DE INSPECCIÓN DE OFICIO SOBRE TRATAMIENTO DE DATOS PERSONALES EN LABORATORIOS HOSPITALARIOS CONCLUSIONES Y RECOMENDACIONES Diciembre de 2004 ÍNDICE 1. INTRODUCCIÓN. 2. DESCRIPCIÓN DEL SECTOR. 3. CONCLUSIONES.

Más detalles

Real Decreto, 1720/2007, de 21 de diciembre

Real Decreto, 1720/2007, de 21 de diciembre PRESENTACION: La normativa vigente en materia de protección de datos, se articula bajo la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, de 13 de Diciembre y el nuevo Real Decreto, 1720/2007,

Más detalles

de la LOPD y del RDLOPD Cómo cumplir con la Ley sin perder operatividad y eficacia

de la LOPD y del RDLOPD Cómo cumplir con la Ley sin perder operatividad y eficacia Fundamentos Las empresas básicos y la LOPD de la LOPD y del RDLOPD Cómo cumplir con la Ley sin perder operatividad y eficacia Cómo le afecta la LOPD 1 Dispone de datos personales de sus empleados y clientes

Más detalles

PROCEDIMIENTO DE REGISTRO ENTRADA Y SALIDA DE EQUIPAMIENTO Y SOPORTES ELABORADO POR: REVISADO POR: APROBADO POR:

PROCEDIMIENTO DE REGISTRO ENTRADA Y SALIDA DE EQUIPAMIENTO Y SOPORTES ELABORADO POR: REVISADO POR: APROBADO POR: DE REGISTRO ENTRADA Y SALIDA DE EQUIPAMIENTO Y ELABORADO POR: REVISADO POR: APROBADO POR: Nº edición: 01 Nº revisión: 01 Página 2 de 19 Fecha Edición Revisión Cambios Realizados 20-01-2014 1 1 Versión

Más detalles

LA SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN

LA SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN LA SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN GUIA DE SEGURIDAD INFORMÁTICA PARA LA FORMACIÓN Y SENSIBILIZACIÓN DE USUARIOS FINALES POR QUÉ LA SEGURIDAD INFORMÁTICA? PORQUE SI UN SISTEMA DE INFORMACIÓN DEJA

Más detalles

INSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE

INSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE SISTEMA DE GESTIÓN DE LA CALIDAD INSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE Código: I-INF-04 Versión 2 22 de Abril de 2014 Bogotá, D.C., 03 de Noviembre de 2009 Código: I-INF-04 Versión: 2 Página 2 de 6

Más detalles

El cuadro de mando contiene indicadores e informes que deben actualizarse a partir de la información de su sistema informático.

El cuadro de mando contiene indicadores e informes que deben actualizarse a partir de la información de su sistema informático. Barcelona: +34 93155688 www.irisview.com info@irisview.com IRIs View Carga de la información desde Access y Excel El cuadro de mando contiene indicadores e informes que deben actualizarse a partir de la

Más detalles

INFORME UCSP Nº: 2011/0070

INFORME UCSP Nº: 2011/0070 MINISTERIO DE LA POLICÍA CUERPO NACIONAL DE POLICÍA COMISARÍA GENERAL DE SEGURIDAD CIUDADANA INFORME UCSP Nº: 2011/0070 FECHA 07/07/2011 ASUNTO Centro de control y video vigilancia integrado en central

Más detalles

LINEAMIENTOS GENERALES Y RECOMENDACIONES PARA LA CUSTODIA Y PROTECCIÓN DE DATOS PERSONALES, INFORMACIÓN

LINEAMIENTOS GENERALES Y RECOMENDACIONES PARA LA CUSTODIA Y PROTECCIÓN DE DATOS PERSONALES, INFORMACIÓN LINEAMIENTOS GENERALES Y RECOMENDACIONES PARA LA CUSTODIA Y PROTECCIÓN DE DATOS PERSONALES, INFORMACIÓN RESERVADA Y CONFIDENCIAL EN POSESIÓN DE SUJETOS OBLIGADOS DEL ESTADO DE CHIAPAS. CONSIDERANDO 1.

Más detalles

EL COLEGIO DE MICHOACÁN A.C. MANUAL DE POLÍTICAS Y PROCEDIMIENTOS DEL DEPARTAMENTO DE CÓMPUTO

EL COLEGIO DE MICHOACÁN A.C. MANUAL DE POLÍTICAS Y PROCEDIMIENTOS DEL DEPARTAMENTO DE CÓMPUTO EL COLEGIO DE MICHOACÁN A.C. MANUAL DE POLÍTICAS Y PROCEDIMIENTOS DEL DEPARTAMENTO DE CÓMPUTO CONTENIDO 1. Prefacio... 3 2. Misión... 3 3. Visión... 3 4. Planeación... 3 5. Inventario y adquisiciones...

Más detalles

Cómo afecta la Ley Orgánica de Protección de Datos de carácter personal a un Administrador de fincas y a las Comunidades de Propietarios que gestiona

Cómo afecta la Ley Orgánica de Protección de Datos de carácter personal a un Administrador de fincas y a las Comunidades de Propietarios que gestiona Cómo afecta la Ley Orgánica de Protección de Datos de carácter personal a un Administrador de fincas y a las Comunidades de Propietarios que gestiona Si usted dirige un despacho de administración de fincas,

Más detalles

Requisitos de control de proveedores externos

Requisitos de control de proveedores externos Requisitos de control de proveedores externos Ciberseguridad Para proveedores clasificados como de bajo riesgo de ciberdelito 1. Protección de activos y configuración de sistemas Los Datos de Barclays,

Más detalles