2. MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS Y ESTÁNDARES ENCAMINADOS A GARANTIZAR LOS NIVELES DE SEGURIDAD EXIGIDOS EN ESTE DOCUMENTO

Transcripción

1

2 Cambios Versión Descripción nueva política de contraseñas 2. Descripción nueva política de gestión de usuarios (integración Directorio Activo) 3. Descripción nueva política de Copias de Seguridad 4. Creación nuevo Plan de Contingencias INDICE 1. ÁMBITO DE APLICACIÓN DEL DOCUMENTO 2. MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS Y ESTÁNDARES ENCAMINADOS A GARANTIZAR LOS NIVELES DE SEGURIDAD EXIGIDOS EN ESTE DOCUMENTO 3. INFORMACIÓN Y OBLIGACIONES DEL PERSONAL 4. PROCEDIMIENTOS DE NOTIFICACIÓN, GESTIÓN Y RESPUESTA ANTE LAS INCIDENCIAS 5. PROCEDIMIENTOS DE REVISIÓN 6. ANEXOS

3 ANEXO I - DESCRIPCIÓN DE FICHEROS ANEXO II - INVENTARIO DE SOPORTES ANEXO III - REGISTRO DE INCIDENCIAS ANEXO IV - ENCARGADOS DE TRATAMIENTO ANEXO V - REGISTRO DE ENTRADA Y SALIDA DE SOPORTES ANEXO VI - Responsabilidad del personal de AFIGAL, S.G.R. En materia de protección de datos de carácter personal ANEXO VII - NOMBRAMIENTOS 1. ÁMBITO DE APLICACIÓN DEL DOCUMENTO El presente documento será de aplicación a los ficheros que contienen datos de carácter personal que se hallan bajo la responsabilidad de Afianzamientos de Galicia, Sociedad de Garantía Recíproca ( En adelante AFIGAL, S.G.R.), incluyendo los sistemas de información, soportes y equipos empleados para el tratamiento de datos de carácter personal, que deban ser protegidos de acuerdo a lo dispuesto en normativa vigente, las personas que intervienen en el tratamiento y los locales en los que se ubican. En concreto, los ficheros sujetos a las medidas de seguridad establecidas en este documento, con indicación del nivel de seguridad correspondiente, son los siguientes: SOCIOS, descrito en el documento de notificación a la Agencia de Protección de Datos que se adjunta en el Anexo I Notificaciones a la Agencia de Protección de Datos, se encuentra oficialmente clasificado como de nivel medio, atendiendo a las condiciones descritas en el artículo 4 de El Real Decreto 1720/2007, de 21 de diciembre de desarrollo de la Ley Orgánica de Protección

4 de Datos, siendo por tanto aplicable a el todas las medidas de seguridad de nivel medio que se establecen en el Capitulo II del citado decreto. La especificación detallada de los recursos protegidos se recoge en el capítulo del Documento de Seguridad Sistemas de Información. PRINCIPIOS DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL DE AFIGAL, S.G.R. Calidad de datos Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos al mismo, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido. Se prohíbe terminantemente la recogida de datos por medios fraudulentos, desleales o ilícitos. Podrán utilizarse única y exclusivamente dentro del marco de las actividades propias de AFIGAL, S.G.R. ( captación de nuevo Socio de Afigal, SGR, solicitud, estudio, análisis, formalización y seguimiento de una operación de riesgo de crédito que vaya a ser o finalmente sea avalada por la Sociedad ante una Entidad Financiera u otro Organismo o Empresa. Asimismo se podrán utilizar los datos con fines comerciales, siempre y cuando no solicite lo contrario el interesado ). En consecuencia, está terminantemente prohibido utilizar dichos datos para fines particulares o privados.

5 Serán datos exactos, fehacientes y puestos al día de forma que correspondan con la veracidad de la situación real del afectado. Si resultaran inexactos, en todo o en parte, o incompletos, se cancelarán y sustituirán de oficio por los correspondientes datos rectificados o completados, sin perjuicio de los derechos de rectificación y cancelación del afectado. Serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cuál hubieran sido recabados o registrados. Una vez cancelados, se conservarán físicamente, pero no podrán ser utilizados para las tareas habituales de los datos de personas físicas que tienen relación contractual con la Sociedad. Se almacenarán de forma que permita el derecho de acceso, salvo que sean legalmente cancelados. Consentimiento del afectado El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo : Cuándo los datos se refieran a personas vinculadas con AFIGAL, S.G.R. Por un contrato o precontrato de una relación negociar o laboral y sean necesarios para el mantenimiento o cumplimiento de dicha relación. Cuándo figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción de la actividad u objetos propios de AFIGAL, S.G.R., siempre que se respeten los derechos y libertades fundamentales del interesado. Datos especialmente protegidos

6 En ningún caso se recogerán ni tratarán datos de carácter personal que revelen o hagan referencia a ideología, afiliación sindical, religión, creencias, origen racial o vida sexual. Los datos de carácter personal que hagan referencia a la salud sólo podrán ser recabados y tratados cuando, por razones de interés general, así lo disponga una ley, o cuando el afectado lo consienta expresamente. DIRECTRICES GENERALES DE SEGURIDAD Introducción Propósito La pérdida o uso indebido de información confidencial y/o sensible así como el deterioro o no disponibilidad de los Sistemas de Información pueden causar la interrupción del normal desarrollo de una Organización, produciendo efectos negativos en la calidad del servicio y en los beneficios e imagen de la entidad. Garantizar la confidencialidad, integridad y disponibilidad de la información, así como minimizar la probabilidad de que los riesgos anteriormente expuestos se manifiesten en la Sociedad es el propósito que persigue la definición de las Directrices Generales de Seguridad. Por otra parte, y en cumplimiento con el artículo 9.1 del Reglamento, dichas Directrices definen de un modo detallado, funciones y obligaciones de las personas con acceso a los ficheros y a los sistemas de información. Ámbito de aplicación El ámbito de aplicación de las Directrices Generales de Seguridad alcanza a todos los Sistemas de Información, instalaciones informáticas y redes de comunicaciones que se encuentren bajo la gestión y las

7 responsabilidad del Servicio de Informática de AFIGAL, S.G.R.. Asimismo, debido a que dichas Directrices reflejan los requerimientos legales y éticos, éstas afectan a todas las personas de todos los niveles de la Organización. Observaciones Tanto estas Directrices como el resto de normas, procedimientos, estándares o cualquier documento relacionado con la seguridad de los SS.II. y los datos que tratan, son propiedad de AFIGAL, S.G.R. y, por tanto, tienen carácter confidencial y únicamente está permitida su utilización y difusión con carácter interno y por personal autorizado. Salidas de información Toda salida de información de Datos de Carácter Personal (en soportes informáticos o por correo electrónico) deberá ser realizada exclusivamente por personal autorizado, para ello será necesaria la autorización formal del Responsable del Fichero del que provienen los datos. En el caso de producirse salidas periódicas de DCPs, el Responsable del Fichero expedirá la autorización una sola vez para todas ellas. Tanto en el CPD como en las unidades usuarias, existirá un registro en el que quedarán anotadas todas las entradas y salidas de soportes informáticos con Datos de Carácter Personal. En ningún caso se podrán utilizar datos de carácter personal calificados como ALTO. La salida de Datos de Carácter Personal en un PC portátil, en general está autorizada por el Responsable del Fichero, siempre y cuando se mantengan las directrices de Seguridad definidas en este documento y sen utilizadas por personal de la empresa y para tareas relacionadas con la operativa de negocio de AFIGAL, S.G.R. Incidencias Es obligación de todo el personal con acceso a los SS.II. de comunicar cualquier incidencia que se produzca y esté relacionada con los SS.II. o con cualquier otro recurso informático propiedad de la Sociedad o confiado a ésta. La comunicación, gestión y resolución de las incidencias de seguridad se tramita mediante el Sistema de Gestión de incidencias que

8 la Sociedad ha habilitado para ese fin. El Área de Explotación, y a través de dicho Sistema, mantiene un Registro actualizado en el que se refleja la información relativa a las incidencias que acontecen y que pueden afectar a la seguridad de los Datos de Carácter Personal. Las actuaciones que se siguen en la comunicación y resolución de las incidencias, tanto por parte de los usuarios como por parte de las unidades resolutorias, están recogidas en el Procedimiento de Notificación y Gestión de Incidencias del Documento de Seguridad. Uso apropiado de los recursos Los Recursos Informáticos, Datos, Software, Red Corporativa y Sistemas de Comunicación están disponibles exclusivamente para cumplir las obligaciones laborales y propósito de la operativa para la que fueron diseñados e implantados. Queda terminantemente prohibido: El uso de los recursos propios de la Sociedad o bajo su supervisión para actividades no relacionadas con las finalidades de esta entidad. El uso de equipos o aplicaciones que no estén directamente especificados como parte del software, hardware o de los estándares de los recursos informáticos propios de la Sociedad. Se consentirán sólo bajo la supervisión del Responsable de Seguridad o el Responsable del Fichero. Introducir en los SS.II. o la Red Corporativa contenidos obscenos, amenazadores, inmorales u ofensivos y en general, carentes de utilidad para los objetivos de la Sociedad. Introducir voluntariamente programas, virus, macros, o cualquier otro dispositivo lógico o secuencia de caracteres que causen o sean susceptibles de causar cualquier tipo de alteración en los Recursos Informáticos de la Sociedad o de terceros. Desactivar o inutilizar los programas antivirus y sus actualizaciones instaladas por el Servicio de Informática. Intentar destruir, alterar, inutilizar o cualquier otra forma de dañar

9 los Datos, Programas o Documentos Electrónicos propios de la Sociedad o confiados a ella. (Estos actos pueden constituir un delito de daños, previsto en el artículo del Código Penal). Ubicar ficheros con Datos de Carácter Personal en las unidades locales de disco de los puestos PC de usuario. Conectarse a la Red Corporativa a través de otros medios que no sean los definidos y administrados por la Sociedad (Intranet Corporativa u otro medio habilitado por el Responsable de Seguridad) Intentar distorsionar o falsear los registros log de los SS.II.. Intentar descifrar las claves, sistemas o algoritmos de cifrado y cualquier otro elemento de seguridad que intervenga en los procesos telemáticos de la Sociedad. Cualquier Fichero introducido en la Red Corporativa o en el puesto de trabajo del Usuario a través de soportes automatizados, Internet, correo electrónico o cualquier otro medio, deberá cumplir los requisitos establecidos en estas normas y en especial, las referidas a propiedad intelectual, protección de Datos de Carácter Personal y control de virus. Software Los Usuarios deben utilizar únicamente las versiones de software facilitadas por la Sociedad y seguir sus normas de utilización. Bajo ningún concepto se puede instalar software externo sin la supervisión del Responsable de Seguridad o la autorización del Responsable del Fichero. El Servicio de Informática es el responsable de definir los programas de uso estandarizado en la Sociedad, y de realizar las instalaciones pertinentes en los PCs. Los Usuarios no deben instalar ni borrar ningún tipo de programa informático en su PC, incluido el software estandarizado por el Servicio de Informática. Hardware Los usuarios, en su actividad laboral, deben hacer uso únicamente del hardware instalado en los equipos propiedad de la Sociedad.

10 El usuario en ningún caso accederá físicamente al interior del PC que tiene asignado para su trabajo. En caso necesario se comunicará la incidencia, según el procedimiento habilitado, y únicamente el personal autorizado por el Servicio de Informática podrá acceder al interior del PC para labores de reparación, instalación o mantenimiento. Los usuarios no manipularán los mecanismos de seguridad que la Sociedad implemente en los PC s de su parque informático. Conectividad a Internet La autorización de acceso a Internet se concede de manera acorde con la labor que los usuarios desempeñan en la Sociedad. Los accesos a Internet estarán regulados y controlados por el Servicio de Informática. El acceso a Internet se realiza exclusivamente a través de la Red establecida y los medios facilitados por la Sociedad. El uso de Internet es un servicio corporativo que la Sociedad pone a disposición de su personal para uso estrictamente profesional. La transferencia de datos a/desde Internet se realizará exclusivamente cuando las actividades propias del trabajo desempeñado lo exija. No se podrán transmitir bajo ningún concepto Datos de Carácter Personal de Nivel ALTO. La Sociedad se reserva el derecho de controlar, monitorizar o limitar el uso de Internet, por motivos de seguridad o rendimiento de la red. Queda totalmente prohibido, utilizar Internet para servicios de descarga masiva de información no relacionada con la activadad empresarial, así como utilizar servicios on line que demanden alta carga de transferencia de información, como servicios multimedia en tiempo real (tv, radio, ). Queda totalmente prohibido, utilizar Internet para accesos a redes sociales y/o similares para utilización personal y con fines no empresariales. Se considerará faltas graves, los usos de servicios de Internet que pongan en peligro la información privada de la empresa, mediante el acceso a portales de dudosa seguridad y reputación, páginas de

11 juegos on line, descargas de software ( ilegal ó legal sin permiso del Responsable de Seguridad ), etc. que comprometan la seguridad de los SS.II. De la empresa mediante el filtrado de información ó simplemente accediendo a dichos servicios, pues de forma automática estará desvelando la identidad pública de AFIGAL, S.G.R en Internet ( mediante la dirección IP ), lo que puede provocar ataques e intentos de intrusión a través de alguno de los servicios públicos de la Sociedad en Internet. Correo electrónico son: Las normas establecidas en cuanto al uso del correo electrónico El servicio de Correo electrónico es un servicio corporativo que la Sociedad pone a disposición de su personal para uso estrictamente profesional. Queda terminantemente prohibido intentar leer, borrar, copiar o modificar los mensajes de correo electrónico de otros usuarios Los usuarios no deben enviar mensajes de correo electrónico de forma masiva o de tipo piramidal con fines comerciales o publicitarios. El Servicio de Informática velará por el correcto uso del correo electrónico con el fin de prevenir actividades que puedan afectar a la seguridad de los SS.II. y de los Datos de Carácter Personal.

12 Monitorización Con el fin de velar por el correcto uso de los distintos SS.II., así como por garantizar la integridad, confidencialidad y disponibilidad de los datos ubicados en los mismos, la Sociedad a través de los mecanismos formales y técnicos que considere oportunos, comprobará, ya sea de forma periódica o cuando por razones específicas de seguridad o del servicio resulte conveniente, la correcta utilización de dichos recursos por todo el personal. En caso de apreciar un uso incorrecto de los recursos asignados a los usuarios (correo electrónico, conexión a Internet, etc.), así como de las aplicaciones y/o datos, se le comunicará tal circunstancia y se le facilitará, en su caso, la formación necesaria para el correcto uso de los recursos. En caso de apreciarse mala fe en la incorrecta utilización de los recursos informáticos, así como de las aplicaciones y/o datos, la Sociedad ejercerá las acciones que legalmente le amparen para la protección de sus derechos. Actualizaciones de las DIRECTRICES de Seguridad Debido a la propia evolución de la tecnología, de las amenazas de seguridad, y a las nuevas aportaciones legales en la materia, la Sociedad se reserva el derecho a modificar cualquiera de los aspectos incluidos en el capítulo: Directrices de Seguridad cuando sea necesario. Los cambios realizados serán divulgados a todos las personas con acceso a los Sistemas de Información utilizando los medios que se consideren pertinentes. Es responsabilidad de cada uno de éstas la lectura y conocimiento de las Directrices Generales de Seguridad más recientes de la Sociedad. Por este motivo, este manual se mantendrá accesible a todo el personal en las unidades asignadas para otros manuales de normas de procedimientos de la Sociedad ( ISO 9001, Manual de Políticas y Procedimientos, etc. )

13 ORGANIZACIÓN DE LA SEGURIDAD Organización Sociedad. En este capítulo se incluye la Organización de Seguridad de la Responsable de Ficheros Responsable de Fichero, es aquella persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decide sobre la finalidad, contenido y uso del tratamiento. Para cada Fichero que posee Datos de Carácter Personal existe un Órgano Responsable del Fichero que figura en la declaración que del fichero se realiza a la Agencia de Protección de Datos. El Responsable del Fichero asumen las siguientes tareas : Adoptar las medidas necesarias para que el personal usuario de los SS.II. conozca las normas de seguridad que afectan al desarrollo de sus funciones, así como las consecuencias en que puede incurrir en caso de incumplimiento. Esta tarea la realiza en colaboración con el Responsable de Seguridad. Autorizar por escrito la ejecución de los procesos de recuperación de Datos de Carácter Personal, según el procedimiento de recuperación de los datos. Autorizar las altas, bajas y modificaciones de los acceso de usuarios a las aplicaciones que realizan tratamiento de carácter personal. Autorizar la salida de soportes informáticos que Datos de Carácter Personal fuera de los locales donde se ubica el fichero. Garantizar la ejecución de los derechos de acceso, modificación y supresión que ejerzan los propietarios de los datos. Incluir en los formularios, documentos e impresos de recogida de Datos de Carácter Personal el texto informativo de tratamiento de datos en Ficheros y de ejecución de los derechos de los titulares de los datos. Incluir en los contratos de prestación de servicios que impliquen

14 acceso a Datos de Carácter Personal las cláusulas que establezcan las obligaciones de las empresas de servicios en la seguridad de los datos. Autorizar el uso de Datos de Carácter Personal reales en pruebas en las aplicaciones que manejan los ficheros de los que es responsable y verificar que dichas pruebas se realizan con las medidas de seguridad adecuadas. Adoptar las medidas correctoras pertinentes para solventar las deficiencias que en materia de seguridad DCPs se detecten tras la realización de las auditorías de seguridad. El Responsable del Fichero puede delegar las tareas que tiene asignadas al Responsable de Seguridad. Esta delegación no supone en ningún caso una exoneración de las responsabilidades que en materia de seguridad de Datos de Carácter Personal corresponden al Responsable de Fichero. Responsable de Seguridad El Responsable de Seguridad coordina y controla todas las tareas y actividades que se realicen en materia de seguridad. Las funciones asignadas al Responsable de Seguridad de la Sociedad, están recogidas en el apartado 4.2 Funciones del Responsable de Seguridad. Para el desempeño de estas funciones, se designa el siguiente Responsable de Seguridad a: Emilio Iglesias Martínez (Responsable de Informática y Comunicaciones de AFIGAL, S.G.R.)

15 FUNCIONES DEL RESPONSABLE DE SEGURIDAD El Responsable de Seguridad de la Sociedad tiene atribuidas las siguientes funciones: Aplicaciones y Ficheros de la Sociedad : Notificar, para su inscripción en el R.G.P.D., la creación, modificación y cancelación de ficheros que contengan Datos de Carácter Personal, según se detalla en la Normativa de Creación, Modificación y Supresión de Ficheros con Datos de Carácter Personal. Mantener actualizado el Inventario de Ficheros. Colaborar con el Responsable del Fichero en la definición de los distintos perfiles de usuario. En dichos perfiles se especificarán las opciones de acceso permitido y el tipo de acceso requerido. Realizar las actividades asociadas a la gestión de administración de usuarios. Éstas se llevarán a cabo según el Procedimiento y Normativa de Administración de Usuarios. Solicitar al Responsable de Fichero las autorizaciones para las peticiones de acceso de usuarios. Solicitar al correspondiente Responsable de Fichero la preceptiva autorización cuando se produzcan, salidas de soportes que contengan Datos de Carácter Personal. Participar en los procesos de recuperación de Datos de Carácter Personal. Para ello, y según se establece en el Procedimiento de Copias de Respaldo y Recuperación de Datos, el Responsable de Seguridad deberá: Participar en la toma de decisión sobre la recuperación. Comunicar al Responsable de Fichero la necesidad de recuperación de datos para obtener la autorización a la misma. Diseño e implantación de aplicaciones informáticas: Asesorar, en la definición de requisitos, sobre las medidas de seguridad que se deben adoptar.

16 Validar la implantación de los requisitos de seguridad necesarios. Actualización del Documento de Seguridad: Mantener actualizadas las normas y procedimientos que en materia de seguridad afecten a los ficheros de la Sociedad. Mantener actualizados los Ficheros y los Datos de Carácter Personal de los SS.II. Para ello se utilizará el Procedimiento de Actualización del Documento de Seguridad. Verificación del cumplimiento de lo dispuesto en el Documento de Seguridad: Verificar la ejecución de los controles establecidos para verificar lo dispuesto en el Documento de Seguridad. Comprobar la coherencia de la información contenida en el Inventario de Ficheros con Datos de Carácter Personal con la existente en el Documento de Seguridad. Auditorías de Seguridad: Controlar que la Auditoría de Seguridad LOPD se realice al menos, cada dos años. Trasladar los informes de auditoría que periódicamente se realicen al Responsable del Fichero. Analizar los informes de Auditoría y tomar las medidas oportunas, junto con el Responsable del Fichero, para subsanar las posibles incidencias detectadas. Gestión de la Seguridad de los SS.II: Estar informado de los cambios que puedan producirse en las disposiciones legales sobre el tratamiento de Datos de Carácter Personal, y proponer medidas de adecuación a dichos cambios. Supervisar que se mantengan actualizados los registros de usuarios con acceso autorizados a los SS.II.. Gestionar y analizar las incidencias de seguridad acaecidas en la Sociedad y registrarlas de acuerdo al Procedimiento de Notificación y Gestión de Incidencias.

17 Elaborar un informe explicativo de aquellas incidencias que afecten de manera grave a los SS.II. establecidos dentro del ámbito de la Sociedad. Dictaminar medidas cuya aplicación aminoren y/o eliminen las incidencias acaecidas. Revisar periódicamente la información de control registrada sobre los accesos de los usuarios a los SS.II. Y tomar las medidas oportunas para resolver los problemas detectados. SISTEMAS DE INFORMACIÓN La información que se recoge a continuación relativa a los SS.II. y a los Ficheros sólo incluye los parámetros básicos y estables, quedando el resto de información incluida en los propios Sistemas de Información. Descripción de los SS.II. En este apartado se describen los parámetros principales de los Sistemas de Información de la Sociedad. Los aspectos técnicos de detalle de los sistemas se encuentran reflejados en los correspondientes inventarios y documentación técnica de la Sociedad. Ubicaciones físicas Los ficheros que contienen Datos de Carácter Personal y los servidores de aplicaciones que realizan los tratamientos se encuentran ubicados en el CPD de la Sociedad en la Delegación Central de AFIGAL, SGR sita en la c/san Andrés 143, 4º, La Coruña. En el CPD se encuentran ubicados los servidores de aplicaciones, los de bases de datos, los servidores de ficheros, servidores de servicios web, correo electrónico y dispositivos de soporte de copias respaldo. Estos son los equipos donde se realizan los tratamientos y donde se almacenan los ficheros con Datos de Carácter Personal. El CPD es una dependencia del edificio, habilitada especialmente para esta función y en la que se han dispuesto las siguientes medidas de disponibilidad y seguridad: Aire acondicionado

18 Falso techo SAI (Sistemas de Alimentación Ininterrumpida) El acceso al CPD NO está estrictamente restringido al personal autorizado y NO dispone de NINGUN mecanismos de control de acceso. Se deberían incluir las siguientes mejoras : Puertas de acceso restringidas y permanentemente cerradas PC de usuario Las normas de obligado cumplimiento en lo que afecta al uso del PC de usuario son: Queda terminantemente prohibido almacenar ficheros con DCPs en las unidades locales de disco de los PCs. No está permitido instalar ninguna aplicación que no haya sido previamente autorizada, sin la supervisión del Responsable de Seguridad. La ejecución de los programas se restringe a los previamente instalados. No está permitido acceder o modificar componente alguna del interior del PC: Red de comunicaciones La Red Corporativa de AFIGAL, S.G.R. la administra el Responsable de Seguridad. La Red Corporativa está compuesta por un nodo central, la Sede Central de Sociedad, que se interconecta con las redes de área local de las delegaciones ( Lugo, Santiago y Ferrol ) mediante un Túnel Privado Virtual (VPN), y que proporciona todos los servicios de forma centralizada.

19 La salida a Internet de los usuarios se realiza del siguiente modo: A través de la LAN local de cada una de las delegaciones. El tráfico de entrada y salida y los servicios centrales y de las delegaciones con el exterior del sistema son gestionados por un router con características de Cortafuegos, cuya administración y gestión recae sobre el personal de Informática de la Sociedad, que a su vez es el Responsable de Seguridad. Un segundo nivel de seguridad se establece mediante túneles ssh, pues todos los servicios ( excepto los servicios web y correo ) están encriptados. Los servicios no encriptados se encuentran en un servidor dedicado, aislado del servidor de datos que alberga Datos de Carácter Personal. Confidencialidad e integridad de la información circulante a través de las distintas redes, cifrando los datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros. Páginas de Información El contenido de las publicaciones que se realizan en la web, es revisado antes de su paso definitivo a explotación de forma sistemática y periódica, en este caso por el de Sistemas Informáticos de la Sociedad, que es el también el Responsable del Fichero.

20 MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS Y ESTÁNDARES ENCAMINADOS A GARANTIZAR LOS NIVELES DE SEGURIDAD EXIGIDOS EN ESTE DOCUMENTO Identificación y autenticación Medidas y normas relativas a la identificación y autenticación del personal autorizado para acceder a los datos personales. El acceso al fichero SOCIOS se realiza a través de la aplicación de gestión corporativa, autenticando cada usuario con un nombre de usuario ( login ) y una contraseña únicos y privados, que definen los diferentes perfiles de usuario, así como los permisos de lectura y modificación ( ningún usuario, excepto el superusuario, que es el responsable de seguridad, puede eliminar ningún dato de carácter personal ) sobre los datos del fichero. El acceso al fichero PERSONAL está restringido al Responsable del Departamento de Administración ( y por supuesto la Dirección General ), que lo cederá a un tercero ( Gestoría Administrativa ) para la elaboración de nóminas, y que deberá cumplir con la normativa vigente en materia de Protección de Datos de Carácter Personal. En general, se cumplirán las siguientes estipulaciones en materia de gestión de acceso, consulta y modificación de los datos del fichero por parte de los usuarios : 1. La autorización de accesos a los datos contenidos en el fichero corresponde al Responsable de Seguridad, que establecerá una segmentación de los accesos para cada uno de los usuarios mediante la definición de perfiles, donde se especifique las opciones de acceso permitidos y el tipo de acceso requerido (actualización o consulta). 2. Cada uno de los usuarios estará asignado a un perfil, de manera que exclusivamente tenga acceso autorizado a los recursos que precisa para desempeñar su función. 3. Cada acceso autorizado deberá estar identificado unívocamente con el usuario correspondiente.

21 4. La generación de altas y bajas de usuario, así como la modificación de derechos de acceso de los usuarios, se tramitarán siguiendo la siguiente secuencia : Procedimiento de Alta de un Nuevo Usuario : El responsable de RR.HH. Solicita al Responsable de Seguridad la inclusión de un nuevo usuario en el sistema. El Responsable del Seguridad incluye los datos identificativos del usuario en la tabla de usuarios con los permisos correspondientes al Departamento al que va a incorporarse. El usuario comienza en un estado de Contraseña no valida ( Ver política de cambio de contraseñas ), por lo que la misma caducará en 24 horas y debe crear una nueva, privada, personal e intransferible ( con la debida fortaleza, como se explica también en este documento ). Se crea un usuario dentro del Grupo Organizativo del Dominio AFIGAL correspondiente y se define su perfil de acceso, ya sea el propio del grupo ó uno hereadado del mismo. Se crea una cuenta de correo asignada al usuario y se añade a la cuenta departamental correspondiente si procede. Se configura dicha cuenta en su cuenta de usuario del dominio para su acceso independientemente del equipo habitual asignado. Procedimiento de Baja de un Usuario : Entrega de llaves o tarjetas de acceso a la empresa que pudiera tener el empleado Entrega del móvil incluyendo tarjeta de contacto y/o memoria que pudiera haberse entregado Cambio o eliminación del usuario y clave de acceso a su ordenador personal o a aquellos que tenía acceso el empleado. Baja en el dominio AFIGAL. Eliminación de su cuenta de correo electrónico empresarial Informar al personal de seguridad de la baja del empleado para evitar acceso a zonas privadas Entrega de uniforme e identificaciones, como tarjetas de visita Cambio de contraseña de acceso a zonas privadas de internet o eliminación