INFORME TECNICO Fecha: 26 DE MAYO DE 2015

Transcripción

1 INFORME TECNICO Fecha: 26 DE MAYO DE 2015

2 Con objeto cumplir con el principio seguridad consagrado en el artículo 4 literal g) la Ley Estatutaria , Protección Datos, BUFETE SUAREZ & ASOCIADOS LTDA., el responsable l tratamiento datos personales, así como sus encargados l tratamiento, ben implementar medidas técnicas, humanas y administrativas necesarias para garantizar la seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. No se permite el registro bases datos personales que no reúnan las condiciones mínimas seguridad expuestas en el presente informe. Las medidas seguridad se clasifican en tres niveles seguridad según el tipo datos: público-semiprivado, privado y sensible. Los niveles seguridad son acumulativos, forma que las medidas seguridad para datos sensibles incluyen también las medidas seguridad para los niveles, privado y público-semiprivado; y las medidas seguridad para datos privados incluyen, a su vez, las l nivel público-semiprivado. La clasificación los niveles seguridad se realiza atendiendo a la tipología los datos, la finalidad l tratamiento y la actividad l responsable l tratamiento (Tabla I). Tabla I. Tipos datos y el nivel seguridad Tipos datos Descripción Nivel seguridad Público Semiprivado Privado Sensible Datos contenidos en documentos públicos, en sentencias judiciales bidamente ejecutoriadas no sometidas a reserva y los relativos al estado civil las personas. Bases datos que contengan Información financiera, crediticia, comercial, servicios y la proveniente terceros países (reportes positivos y negativos) Números telefónicos y correos electrónicos personales; datos laborales, sobre infracciones administrativas o penales, administrados por administraciones tributarias, entidas financieras y entidas gestoras y servicios comunes la Seguridad Social, bases datos sobre solvencia patrimonial o crédito, bases datos con información suficiente para evaluar la personalidad l titular, bases datos los responsables operadores que presten servicios comunicación electrónica Datos salud, iología, afiliación sindical, creencias, religión, origen racial o étnico, vida sexual, datos recabados sin consentimiento para fines policiales, datos biométricos (huellas, iris, etc.), datos rivados la violencia género Público-semiprivado Público-semiprivado Privado Sensible

3 Las medidas seguridad también varían según el sistema tratamiento la base datos, que pue ser automatizada, no automatizada o parcialmente automatizada. La siguiente tabla (Tabla II) indica el nivel seguridad y el sistema tratamiento las bases datos almacenadas y tratadas por BUFETE SUAREZ & ASOCIADOS LTDA. Tabla II. Bases datos y nivel seguridad Base datos Nivel seguridad Sistema tratamiento Empleados Sensible Mixto Clientes Privado Mixto Proveedores Privado Mixto suministros y servicio Privado Mixto Cobranza pre-jurídica Privado Mixto Cobranza jurídica Privado Mixto Campañas mercao. Privado Mixto A continuación se exponen y scriben las medidas seguridad mínimas implantadas por BUFETE SUAREZ & ASOCIADOS LTDA. Que están recogidas y sarrolladas en su Manual Interno Seguridad (Tablas III, IV, V y VI). Tabla III. Medidas seguridad comunes para todo tipo datos (públicos, semiprivados, privados, sensibles) y bases datos (automatizadas, no automatizadas) Gestión documentos y soportes 1. Medidas que eviten el acceso inbido o la recuperación los datos que han sido scartados, borrados o struidos. Acceso restringido al lugar don se almacenan los datos. 3. Autorización l responsable para la salida documentos o soportes por medio físico o electrónico. Control acceso Incincias Personal Manual Interno Seguridad 1. Acceso usuarios limitado a los datos necesarios para el sarrollo sus funciones. Lista actualizada usuarios y accesos 3. Mecanismos para evitar el acceso a datos con 1. Registro incincias: tipo incincia, momento en que se ha producido, emisor la notificación, receptor la notificación, efectos y medidas correctoras. 1. Definición las funciones y obligaciones los usuarios con acceso a los datos Definición las funciones control y autorizaciones legadas por el responsable l tratamiento. 3. Divulgación 1. Elaboración e implementación l Manual obligado cumplimiento para el personal. Contenido mínimo: ámbito aplicación, medidas y procedimientos seguridad, funciones y obligaciones l personal, scripción las bases datos, procedimiento ante incincias, procedimiento copias y recuperación datos, medidas seguridad

4 4. Sistema etiquetado o intificación l tipo información. 5. Inventario soportes. rechos distintos los 4. Concesión, alteración o anulación permisos por el personal autorizado Procedimiento notificación y gestión incincias. entre el personal las normas y las consecuencias l incumplimiento las mismas para el transporte, strucción y reutilización documentos, intificación los encargados l tratamiento. Tabla IV. Medidas seguridad comunes para todo tipo datos (públicos, semiprivados, privados, sensibles) según el tipo bases datos Bases datos no automatizadas Bases datos automatizadas Archivo Almacenamiento documentos Custodia documentos Intificación y autenticación Telecomunicaciones 1. Archivo documentación siguiendo procedimientos que garanticen una correcta conservación, localización y consulta y permitan el ejercicio los rechos los Titulares. 1. Dispositivos almacenamiento con mecanismos que impidan el acceso a personas no autorizadas. 1. Deber diligencia y custodia la persona a cargo documentos durante la revisión o tramitación los mismos. 1. Intificación personalizada usuarios para accer a los sistemas información y verificación su autorización. Mecanismos intificación y autenticación; Contraseñas: asignación, caducidad y almacenamiento cifrado. 1. Acceso a datos mediante res seguras. Tabla V. Medidas seguridad para datos privados según el tipo bases datos Bases datos automatizadas y no automatizadas Bases datos automatizadas Auditoría Responsable seguridad Manual Interno Seguridad Gestión documentos y soportes Control acceso Intificación y autenticación Incincias 1. Auditoría ordinaria (interna o externa) cada dos meses. Auditoría extraordinaria por modificaciones sustanciales en los sistemas información. 3. Informe tección ficiencias y propuesta correcciones. 4. Análisis y conclusiones l responsable 1. Designación uno o varios responsable seguridad. Designación uno o varios encargados l control y la coordinación las medidas l Manual Interno Seguridad. 3. Prohibición 1. Controles periódicos cumplimiento 1. Registro entrada y salida documentos y soportes: fecha, emisor y receptor, número, tipo información, forma envío, responsable la recepción o entrega 1. Control acceso al lugar o lugares don se ubican los sistemas informació n. 1. Mecanismo que limite el número intentos reiterados acceso no 1. Registro los procedimientos recuperación los datos, persona que los ejecuta, datos restaurados y datos grabados manualmente. Autorización l responsable l tratamiento para la ejecución los procedimientos recuperación.

5 seguridad y l responsable l tratamiento. 5. Conservación l Informe a disposición la autoridad. legación la responsabilidad l responsable l tratamiento en el responsable seguridad. Tabla VI. Medidas seguridad para datos sensibles según el tipo bases datos Control acceso 1. Acceso solo para personal autorizado. Mecanismo intificación acceso. 3. Registro accesos usuarios no Bases datos no automatizadas Almacenamiento documentos 1. Archivadores, armarios u otros ubicados en áreas acceso protegidas con llaves u otras medidas. Copia o reproducción 1. Solo por usuarios Destrucción que impida el acceso o recuperación los datos. Traslado documentación 1. Medidas que impidan el acceso o manipulación documentos. Gestión documentos y soportes 1. Sistema etiquetado confincial. Cifrado datos. 3. Cifrado dispositivos portátiles cuando salgan fuera. Bases datos automatizadas Control acceso 1. Registro accesos: usuario, hora, base datos a la que acce, tipo acceso, registro al que acce. Control l registro accesos por el responsable seguridad. Informe mensual. 3. Conservación los datos: 2 años. Telecomunicaciones 1. Transmisión datos mediante res electrónicas cifradas.