DOCUMENTO DE SEGURIDAD

Transcripción

1 DOCUMENTO DE SEGURIDAD Ficheros: Nº INSCRIPCIÓN NOMBRE DE LOS FICHEROS FECHA PROVEEDORES CLIENTES PERSONAL FICHERO DE DIRECCIONES FACULTATIVAS SOLICITUD DE EMPLEO TRABAJADORES OBRA FECHA DE ELABORACIÓN DEL DOCUMENTO: Julio 2008 Nº DE VERSIÓN: 1 RESPONSABLE DEL FICHERO: ARCADI PLA, S.A. CIF A C/ Cl.Manel Quer N.9 Entlo. Pta.2 Girona Tel sergi.ros@contratasyobras.com NIVEL: MEDIO Título VIII R.D. 1720/2007 El presente documento se formaliza para proceder a la implantación de las medidas de seguridad necesarias en el tratamiento automatizado de datos de carácter personal, las cuales están reflejadas en el título VIII (artículos 79 al 114) del R.D. 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Según se cita en los artículos de dicho título, el contenido de este documento es de obligado cumplimiento para todo el personal con acceso a los datos de carácter personal. ELABORADO REVISADO REVISADO Y APROBADO Josep Bardallo AUDITOR EXTERNO Conzentra Sergi Ros Vicente RESPONSABLE DE SEGURIDAD ARCADI PLA RESPONSABLE DE LOS FICHEROS ARCADI PLA

2 ÍNDICE GENERAL 1. Objeto del documento 2. Ámbito de aplicación 3. Descripción general y finalidad de los Ficheros 4. Estructura de los Ficheros 5. Responsabilidades 6. Recursos protegidos. 7. Medidas, normas, procedimientos, reglas y estándares 8. Procedimiento de gestión de incidencias 9. Procedimiento de gestión de soportes 10. Procedimiento de respaldo y recuperación 11. Funciones y obligaciones del personal 12. Controles periódicos de verificación del cumplimiento 13. Tratamiento de ficheros temporales 14. Tratamiento, comunicación de datos e Información 15. Legislación aplicable ANEXOS 1. Documentos de Notificación a la Agencia de Protección de Datos 2. Personal autorizado acceder a los Ficheros 3. Acceso, rectificación, cancelación y oposición al tratamiento de datos personales 4. Inventario de soportes 5. Entrada de soportes 6. Salida de soportes 7. Notificación de incidencias 8. Compromiso se confidencialidad 9. Controles periódicos de verificación del cumplimiento 10. Contratos de Encargado del tratamiento Pág. 2 / 29

3 1. Objeto del documento El presente documento responde a la obligación establecida en el título VIII (artículos 79 al 114) del R.D. 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, en el que se regulan las medidas de seguridad de los Ficheros automatizados que contengan datos de carácter personal. Los Ficheros identificados se encuentran oficialmente clasificados, según la Tabla 1, atendiendo a las condiciones descritas en los Artículos 80 Y 81 del citado reglamento, siéndoles, por tanto, aplicables las medidas de seguridad de nivel básico, medio o alto que se establecen en el Capítulo VIII del citado Real Decreto. NOMBRE DEL FICHERO UBICACION CLASIFICACIÓN PROVEEDORES CLIENTES PERSONAL FICHERO DE DIRECCIONES FACULTATIVAS SOLICITUD DE EMPLEO TRABAJADORES OBRA E:\ARCADI_DATOS\MSSQL\DATOS (Server BDOBRAS) E:\ARCADI_DATOS \MSSQL\DATOS (Server BDOBRAS) E:\ARCADI_DATOS MSSQL\DATOS (Server BDOBRAS) E:\ARCADI_DATOS \MSSQL\DATOS (Server BDOBRAS) C:\Inetpub\wwwroot\APla\db (Server OFIMATICA) FICHERO NO AUTOMATIZADO (PAPEL) BAJO BAJO MEDIO BAJO BAJO MEDIO Pág. 3 / 29

4 2. Ámbito de aplicación Este documento ha sido elaborado bajo la responsabilidad de (CIF A ), quien, como Responsable de los Ficheros, se compromete a implantar y actualizar esta Normativa de Seguridad de obligado cumplimiento para todo el personal con acceso a los datos protegidos o a los sistemas de información que permiten el acceso a los mismos. Todas las personas que tengan acceso a los datos de los Ficheros, a través de cualquiera de sus distintas aplicaciones, se encuentran obligadas por Ley a cumplir lo establecido en este documento, y sujetas a las consecuencias que pudieran incurrir en caso de incumplimiento. Una copia de este documento con la parte que le afecte será entregada, para su conocimiento, a cada una de las personas autorizadas a acceder a los datos de los Ficheros, ver ANEXO 2, siendo requisito obligatorio para poder acceder a esos datos el haber firmado el COMPROMISO DE CONFIDENCIALIDAD, ANEXO 8. Pág. 4 / 29

5 3. Descripción general y finalidad de los ficheros El fichero denominado PROVEEDORES, es un fichero automatizado en el que se recogen y tratan un conjunto de datos personales para facilitar la relación comercial existente con proveedores. El fichero denominado CLIENTES, es un fichero automatizado en el que se recogen y tratan un conjunto de datos personales para facilitar el cumplimiento de la relación comercial existente con clientes. El fichero denominado PERSONAL, es un fichero automatizado en el que se recogen y tratan un conjunto de datos personales para la gestión de los aspectos propios de la relación laboral existente con los trabajadores. El fichero denominado FICHERO DE DIRECCIONES FACULTATIVAS, es un fichero automatizado en el que se recogen y tratan un conjunto de datos personales referidos a los trabajadores de la empresa que forman parte de las direcciones Facultativas de las obras necesarios para la gestión de las obras. El fichero denominado SOLICITUD EMPLEO, es un fichero automatizado en el que se recogen y tratan un conjunto de datos personales en procesos de selección de personal a tener en cuenta en futuras contrataciones (datos enviados por la web para solicitud de empleo) El fichero denominado TRABAJADORES EN OBRA, es un fichero no automatizado en el que se recogen y tratan un conjunto de datos personales referidos a los trabajadores de la empresa y subcontratados en las obras que realiza ARCADI PLA. Dichos datos se encuentran de manera descentralizada en cada una de las obras. Pág. 5 / 29

6 4. Estructura de los Ficheros En el Fichero PROVEEDORES se recogen y tratan los siguientes datos: DNI/NIF. Nombre y apellidos. Dirección. Teléfono. Datos de características personales Datos de circunstancias sociales Datos de Información comercial Datos de económicos, financieros y de seguros Datos de Transacciones de bienes y servicios En el Fichero CLIENTES se recogen y tratan los siguientes datos: DNI/NIF. Nombre y apellidos. Dirección. Teléfono. Datos de características personales Datos de circunstancias sociales Datos de Información comercial Datos de económicos, financieros y de seguros Datos de Transacciones de bienes y servicios En el Fichero PERSONAL se recogen y tratan los siguientes datos: DNI/NIF. Nº SS/Mutualidad Nombre y apellidos. Tarjeta Sanitaria Dirección. Teléfono. Datos de características personales Datos de circunstancias sociales Datos académicos y profesionales Datos de detalles de empleo Datos de económicos, financieros y de seguros Datos de Transacciones de bienes y servicios Pág. 6 / 29

7 En el Fichero DIRECCIONES FACULTATIVAS se recogen y tratan los siguientes datos: DNI/NIF. Nombre y apellidos. Dirección. Teléfono. Datos de características personales En el Fichero SOLICITUD DE EMPLEO se recogen y tratan los siguientes datos: DNI/NIF. Nombre y apellidos. Dirección. Teléfono. Datos de características personales Datos académicos y profesionales Datos de detalle del empleo En el Fichero TRABAJADORES OBRA se recoge y tratan los siguientes datos: DNI/NIF. Nº SS/Mutualidad Nombre y apellidos. Tarjeta Sanitaria Dirección. Teléfono. Datos de características personales Datos de detalles de empleo Datos de económicos, financieros y de seguros Cualquier modificación que se efectúe en el contenido de cada Fichero deberá ser comunicada por el Responsable de Seguridad al Responsable de los Ficheros con objeto de realizar las consecuentes modificaciones en el Registro General de Protección de Datos. Pág. 7 / 29

8 5. Responsabilidades 5.1. Responsable de los Ficheros C/ Manel Quer N.9 Entlo. Pta Girona Tel Responsable de Seguridad Sergi Ros Vicente Jefe departamento Tecnologías de la Información 5.3. Administrador de Sistemas Sergi Ros Vicente Jefe departamento Tecnologías de la Información 5.4. Procedimiento de acceso, rectificación, cancelación y oposición al tratamiento de datos personales Considerando el carácter personal e intransferible, excepto en el caso de menores o incapacitados, del ejercicio de los derechos de acceso, rectificación, cancelación y oposición al tratamiento de datos personales y para que el Responsable de seguridad pueda tramitar la solicitud, será necesario que el solicitante acredite su identidad mediante la cumplimentación del modelo de SOLICITUD DE INFORMACIÓN SOBRE DATOS DE CARÁCTER PERSONAL, ANEXO 3, fotocopia del DNI o cualquier otro medio de identificación personal válido en derecho. El derecho de acceso, rectificación, cancelación y oposición al tratamiento de datos personales es gratuito, por tanto no ha de suponer coste económico alguno al solicitante Acceso El derecho de acceso no podrá llevarse a cabo a intervalos inferiores a doce (12) meses, salvo causa justificada, en cuyo caso podrá ser ejercitado antes. El Responsable de Seguridad deberá responder al derecho de acceso del solicitante y en la forma elegida por éste en el plazo máximo de un (1) mes, a contar desde la fecha de la recepción de la solicitud, ya sea por medio de visualización en pantalla, escrito, copia, fotocopia o por cualquier otro procedimiento, en forma legible e inteligible. Pág. 8 / 29

9 Rectificación, cancelación y oposición El Responsable de Seguridad deberá responder al derecho de rectificación, cancelación y oposición de los datos del solicitante y en la forma elegida por éste, en el plazo de diez (10) días a contar desde la fecha de recepción de la solicitud. Si los datos rectificados hubieran sido cedidos a terceros, deberá también notificar la rectificación a los cesionarios para que operen de la misma forma. La cancelación implica el borrado físico de los datos excepto cuando la misma no sea materialmente posible, en cuyo caso el Responsable de Seguridad procederá al bloqueo de los datos con el fin de impedir su utilización y tratamiento. Dichos datos deberán conservarse a disposición de las Administraciones Públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento durante el plazo de prescripción de éstas. Cumplido el citado plazo, deberá procederse a la supresión. Pág. 9 / 29

10 6. Recursos protegidos La protección de los datos de los Ficheros frente a accesos no autorizados se ha de realizar mediante el control simultáneo de todas las vías por las que se pueda tener acceso a la citada información. Los recursos que, por servir de medio directo o indirecto para acceder a los Ficheros, deberán de ser controlados por esta normativa son: a. Los locales y centros de tratamiento donde se encuentran ubicados los Ficheros o se almacenan los soportes que los contengan, su descripción figura en el Apartado 6.1. b. Los puestos de trabajo, locales o remotos, desde los que se puede tener acceso a los Ficheros, la relación de esos puestos de trabajo está descrita en el Apartado 6.2. c. Los sistemas informáticos o aplicaciones establecidas para acceder a los datos, descritos en el Apartado 6.3. d. Los servidores y el entorno del sistema operativo y de comunicaciones en el que se encuentran ubicados los Ficheros, que está descrito en el Apartado Locales y centros de tratamiento donde se encuentran ubicados los Ficheros o se almacenan los soportes que los contienen Los locales donde se ubican los ordenadores que contienen los Ficheros son objeto de especial protección para garantizar la disponibilidad y confidencialidad de los datos protegidos. Los locales cuentan con los medios necesarios de seguridad para evitar los riesgos de indisponibilidad de los Ficheros que pudieran producirse como consecuencia de incidencias fortuitas o intencionadas. El acceso al habitáculo de servidores donde se encuentran los Ficheros está restringido, exclusivamente, al Administrador de Sistemas y al personal autorizado que deban de realizar labores de mantenimiento para los que sean imprescindibles el acceso físico Locales El edificio que alberga los servidores de la empresa dispone de un habitáculo de servidores cerrado, accesible tan sólo por el Administrador de Sistemas, y con sistemas de control de temperatura y detección contra incendios. El fichero TRABAJADORES de OBRA se encuentra ubicado físicamente en cada una de las obras que se realizan (distribuidas geográficamente), en un local cerrado con el único acceso al mismo por parte del personal autorizado en este documento. Pág. 10 / 29

11 6.2. Puestos de trabajo con acceso a los Ficheros Son todos aquellos dispositivos desde los cuales se puede acceder a los datos de los Ficheros, como por ejemplo, terminales u ordenadores personales. Cada puesto de trabajo está bajo la responsabilidad de una persona de las autorizadas en el ANEXO 2, que garantiza que la información que muestra no pueda ser visualizada por personas no autorizadas. Esto implica que tanto las pantallas como las impresoras u otro tipo de dispositivos conectados al puesto de trabajo están físicamente ubicados en lugares que garantizan esa confidencialidad. Cuando el responsable de un puesto de trabajo lo abandone, bien temporalmente o bien al finalizar su turno de trabajo, deberá dejarlo en un estado que impida la visualización de los datos protegidos. Esto podrá realizarse a través de un protector de pantalla que impida la visualización de los datos. La reanudación del trabajo implicará la desactivación de la pantalla protectora con la introducción de la contraseña correspondiente. En el caso de las impresoras deberá asegurarse de que no quedan documentos impresos en la bandeja de salida que contengan datos protegidos. Si las impresoras son compartidas con otros usuarios no autorizados para acceder a los datos de los Ficheros, los responsables de cada puesto deberán retirar los documentos conforme vayan siendo impresos. Queda expresamente prohibida la conexión a redes o sistemas exteriores de los puestos de trabajo desde los que se realiza el acceso a los Ficheros, excepto autorización expresa del Responsable de los Ficheros. Los puestos de trabajo desde los que se tiene acceso a los Ficheros tendrán una configuración fija en sus aplicaciones y sistemas operativos que sólo podrá ser cambiada bajo la autorización del Responsable de Seguridad Sistema informático de acceso a los Ficheros Son todos aquellos sistemas informáticos, programas o aplicaciones con las que se puede acceder a los datos de los Ficheros, y que son usualmente utilizados por los usuarios para acceder a ellos. Estos sistemas pueden ser aplicaciones informáticas expresamente diseñadas para acceder a los Ficheros, o sistemas pre programados de uso general como aplicaciones o paquetes disponibles en el mercado informático. Los sistemas de acceso a los Ficheros tienen su acceso restringido mediante un código de usuario y una contraseña, ver apartado 7.2. Todos los usuarios autorizados para acceder a los Ficheros, relacionados en el ANEXO 2, disponen de un código de usuario que será único, y que estará asociado a la contraseña correspondiente, que sólo será conocida por el propio usuario. Pág. 11 / 29

12 Si la aplicación informática que permite el acceso a los Ficheros no cuenta con un control de acceso, deberá ser el mismo sistema operativo, donde se ejecuta esa aplicación, el que impida el acceso no autorizado, mediante el control de los citados códigos de usuario y contraseñas. En cualquier caso se controlarán el número de intentos de acceso fraudulento a los ficheros limitando el número máximo de intentos fallidos. Si durante las pruebas anteriores a la implantación o modificación de la aplicación de acceso a los ficheros se utilizasen datos reales, se deberá aplicar a esos ficheros de prueba el mismo tratamiento de seguridad que se aplica a los mismos Ficheros Descripción del sistema informático Se dispone de una sede central, donde se ubican los servidores que albergan los ficheros con datos personales, con conexión a Internet, y a la que se conectan mediante Red privada las diferentes delegaciones de la empresa, donde se ubican los usuarios que acceden a los datos Responsable del mantenimiento de los Ficheros soportados por este documento Sergi Ros Vicente Jefe departamento Tecnologías de la Información Seguridad de los ficheros Están definidos los usuarios y las contraseñas en los aplicativos del Servidor. La accesibilidad está restringida a los usuarios autorizados Ubicación de los usuarios con acceso a los datos Los usuarios que acceden a los ficheros con datos personales se encuentran en cualquiera de las sedes de la empresa, en las obras que se abren y cierran por todo el territorio (fichero TRABAJADORES DE OBRA) Pág. 12 / 29

13 7. MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS Y ESTÁNDARS ENCAMINADOS A GARANTIZAR EL NIVEL DE SEGURIDAD EXIGIDA EN EL REGLAMENTO Las medidas, normas y procedimientos técnicos y organizativos, expuestos en el presente documento propuestos por el responsable de seguridad y verificados por el responsable de los ficheros, van encaminados a evitar cualquier alteración, pérdida y tratamiento o acceso no autorizado a los datos de carácter personal. No está permitido bajo ninguna circunstancia, llevar fuera del ámbito de trabajo el sistema de información, ningún fichero, ni copia del mismo, que contenga datos de carácter personal, sin autorización expresa del responsable del fichero por escrito. En caso que, como consecuencia del funcionamiento del sistema de información, se hayan creado, ya sea de forma automática o de forma manual, ficheros temporales que contengan datos de carácter personal, el responsable de seguridad tendrá que controlar que estos ficheros sean anulados del sistema cuando ya no sean necesarios Nadie que no haya sido debidamente identificado por el responsable de seguridad podrá acceder a los ficheros que contengan datos de carácter personal. Es por eso que se establecerán de manera continuada los accesos autorizados a los ficheros para cada usuario Seguridad física Acceso físico a los locales. El acceso físico a los locales está restringido únicamente al personal autorizado de ARCADI PLA S.A. El personal de visita sólo tiene acceso físico a los locales previa identificación en el control de acceso de entrada y, durante su estancia, va siempre convenientemente identificado y acompañado por personal autorizado Acceso a las áreas restringidas. El acceso a las áreas restringidas o internas donde se encuentran, bajo llave, ubicados los servidores y sistemas de alimentación ininterrumpida está limitado tan sólo al Administrador de Sistemas y personal autorizado de Pág. 13 / 29

14 7.2. Seguridad lógica Procedimiento de asignación y cambio de contraseñas personales. Las contraseñas personales constituyen uno de los componentes básicos de la seguridad de los datos, y deben por tanto estar especialmente protegidas. Como llaves de acceso al sistema, las contraseñas son estrictamente confidenciales y personales, y cualquier incidencia que comprometa su confidencialidad deberá ser inmediatamente comunicada al Administrador de Sistemas y subsanada en el menor plazo de tiempo posible. Únicamente las personas relacionadas en el ANEXO 2 tienen acceso a los datos de los Ficheros. Los usuarios tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones. El Responsable de Seguridad custodiará y autorizará la relación de usuarios con acceso autorizado a los Ficheros. El acceso a los Ficheros por parte de un usuario sólo puede producirse en tanto en cuanto dicho usuario disponga de la correspondiente contraseña. Las contraseñas asignadas a cada usuario son personales e intransferibles considerándose, en todo caso, información confidencial. Cada usuario es responsable de la confidencialidad de su contraseña y, en caso de que la misma sea conocida fortuita o fraudulentamente por personas no autorizadas, deberá de registrarse como incidencia y proceder automáticamente a la asignación de una nueva contraseña. Las contraseñas se asignarán y se cambiarán de forma obligatoria Trimestralmente, no pudiendo ser reutilizadas hasta haberse producido, al menos, cinco (5) cambios Procedimiento de respaldo y recuperación. Ver el apartado 10 del presente documento Procedimiento de gestión de soportes. Ver el apartado 9 del presente documento. Pág. 14 / 29

15 8. Procedimiento de gestión de incidencias Una incidencia es cualquier situación que pueda producirse esporádicamente y que pueda suponer un peligro para la seguridad de los Ficheros, entendida bajo sus tres vertientes de: a) confidencialidad, b) integridad y c) disponibilidad de la información. El mantener un registro de las incidencias que comprometan la seguridad de los Ficheros es una herramienta imprescindible para la prevención de posibles ataques a esa seguridad. Así como para persecución de los responsables de los mismos. El Responsable de Seguridad habilitará un LIBRO DE INCIDENCIAS a disposición de todos los usuarios autorizados de los Ficheros con el fin de que se registren en él cualquier incidencia que pueda suponer un peligro para la seguridad del mismo. Cualquier usuario autorizado que tenga conocimiento de una incidencia es responsable del registro de la misma en la NOTIFICACIÓN DE INCIDENCIAS, ANEXO 7 o de comunicarla al Responsable de Seguridad para que, a su vez, proceda a su registro. El conocimiento y la no notificación o registro de una incidencia por parte de un usuario será considerado como una falta contra la seguridad de los Ficheros por parte de ese usuario. La notificación o registro de una incidencia deberá constar al menos de los siguientes datos: - Fecha de notificación. - Tipología de incidencia. - Descripción detallada de la misma. - Fecha y hora en que se ha producido. - Persona a quien se comunica. - Efectos que puede producir la incidencia. Si se trata de una recuperación de datos se incluirá además: - Autorización del Responsable de los Ficheros. - Procedimientos realizados. - Persona que va a realizar el proceso. - Datos restaurados. - Datos registrados manualmente. Se ha de mantener un registro de incidencias de los últimos doce (12) meses. Las incidencias inscritas estarán acompañadas de la firma del Responsable de Seguridad y visadas mensualmente por el Responsable de los Ficheros. Del visado quedará constancia mediante firma y fecha del propio visado. Pág. 15 / 29

16 9. Procedimiento de gestión de soportes Los soportes informáticos de los Ficheros son todos aquellos medios de grabación y recuperación de datos que se utilizan para realizar copias o pasos intermedios en los procesos de la aplicación que gestionan los Ficheros. Los soportes que contengan datos de los Ficheros, bien como consecuencia de operaciones intermedias propias de la aplicación que los trata, o bien como consecuencia de procesos periódicos de respaldo o cualquier otra operación esporádica, deberán estar claramente identificados con una etiqueta externa que indique lo siguiente: a. de qué fichero se trata, b. qué tipo de datos contiene, c. el proceso que los ha originado y d. la fecha de creación. Todos los soportes generados se han de registrar por parte del Responsable de los Ficheros o quien éste delegue en el INVENTARIO DE SOPORTES, ANEXO 4. En los supuestos que un soporte fuera desechado o reutilizado, se adoptaran las medidas necesarias para impedir cualquier recuperación posterior de la información almacenada en él, previamente a que se proceda a su baja en el inventario. Los soportes que contengan datos de los Ficheros deberán ser almacenados en lugares a los que no tengan acceso personas no autorizadas para el uso de los Ficheros y que no estén por tanto relacionadas en el Documento de Seguridad. Las copias de seguridad se guardan en una caja fuerte ignífuga. El Responsable de los Ficheros mantendrá un LIBRO REGISTRO DE ENTRADAS Y SALIDAS descritos en los ANEXOS 5 y 6 donde se guardarán los formularios de entradas y de salidas de soportes con indicación de tipo de soporte, fecha y hora, emisor, número de soportes, tipo de información que contienen, forma de envío, destinatario, o persona responsable de la recepción que deberán estar debidamente autorizadas. La salida de soportes informáticos que contengan datos de carácter personal fuera de los locales en los que están ubicados los Ficheros únicamente podrá ser autorizada por el Responsable de de los Ficheros o quien éste delegue. Cuando los soportes vayan a salir fuera de los locales como consecuencia de operaciones de mantenimiento, se adoptarán las medidas necesarias para impedir cualquier recuperación indebida de la información almacenada en ellos. Pág. 16 / 29

17 10. Procedimiento de respaldo y recuperación Existe personal responsable de obtener periódicamente copia de seguridad de los Ficheros, a efectos de respaldo y posible recuperación de los datos en caso de fallo: Responsable: Sr. Sergi Ros Vicente 10.1 Estrategia de respaldo Las copias de seguridad se realizan de manera diaria de Lunes a Viernes (L-M-MX-J-V), en una unidad de cinta SCSI conectada localmente al servidor encargado de realizarlas. Se utiliza la misma cinta para la realización de las copias diarias. Para la realización de las copias se utiliza el programa Veritas Backup Exec. Las copias de lunes a jueves son diferenciales, y el viernes realiza una copia completa. La retención de los datos es pues de una semana. Las copias de seguridad se registran automáticamente en un registro accesible por el Administrador del Sistema para la comprobación de la correcta realización de las mismas. Cualquier incidencia queda registrada y será responsabilidad del Responsable de Seguridad quien ha de activar las medidas correctoras para la resolución de la incidencia Estrategia de recuperación La recuperación de los datos a partir de la copia de seguridad, en caso de pérdida de los mismos, se realiza bajo la supervisión del Responsable de Seguridad. Será necesaria la autorización por escrito del Responsable de Seguridad para la ejecución de los procedimientos de recuperación de los datos, y deberá dejarse constancia en el registro de NOTIFICACIÓN DE INCIDENCIAS, ANEXO 6, de las manipulaciones que hayan debido realizarse para dichas recuperaciones, incluyendo: a. la persona que realizó el proceso, b. los datos restaurados y c. los datos que hayan debido ser grabados manualmente en el proceso de recuperación Procedimiento de copia y restauración A continuación se muestran los procedimientos para la realización de las copias de seguridad, y la restauración de las mismas (previa autorización por escrito del Responsable de Seguridad). Para la realización de las copias de seguridad y de la restauración de las mismas, es necesario utilizar el programa de administración del software encargado de la realización de las copias de seguridad: Symantec Veritas Backup Exec, instalado en el servidor de copias Pág. 17 / 29

18 BACKUP RESTORE: Pág. 18 / 29

19 Pág. 19 / 29

20 11. Funciones y obligaciones del personal Son obligaciones básicas del personal usuario de los sistemas de información de los Ficheros, las siguientes: 1. Cumplir las normas y procedimientos establecidos en este Documento de Seguridad. 2. Mantener bien definidas y documentadas las medidas de seguridad adoptadas en el presente documento. 3. Conocer las normas y procedimientos de seguridad, así como las consecuencias de no cumplirlos. 4. Guardar secreto profesional sobre los datos de carácter personal de los que conozcan durante el ejercicio de sus funciones, deber que subsistirá aún después de finalizar sus relaciones con el Responsable de los Ficheros. El Administrador de Sistemas, que es el encargado de administrar o mantener el entorno operativo de los Ficheros ha de estar explícitamente relacionado en el Apartado 5.3, ya que por sus funciones pueden utilizar herramientas de administración que permiten el acceso a los datos protegidos saltándose las barreras de acceso. Además, el Administrador de Sistemas debe atender sus responsabilidades, entre otras, en materia de tratamiento de los respaldos de seguridad, normas para el alta de usuarios y contraseñas, así como otras normas de obligado cumplimiento Funciones del Responsable de los Ficheros El Responsable de los Ficheros es el encargado jurídicamente de la seguridad de los Ficheros y de las medidas establecidas en el presente documento, implantará las medidas de seguridad establecidas en él y adoptará las medidas necesarias para que el personal afectado por este documento conozca las normas que afecten al desarrollo de sus funciones. Así mismo es quien designa al Responsable de Seguridad Obligaciones del Responsable de los Ficheros Son obligaciones del Responsable de los Ficheros: Implantar las medidas de seguridad establecidas en este documento. Garantizar la difusión de este Documento entre todo el personal que vaya a utilizar. Mantener actualizado el Documento de Seguridad, siempre que se produzcan cambios relevantes en el sistema de información o en la organización del mismo. Adecuar en todo momento el contenido del Documento de Seguridad a las disposiciones vigentes en materia de seguridad. Designar uno o varios Responsables de Seguridad. Pág. 20 / 29

21 Aprobar o designar al administrador que se responsabilizará del sistema operativo y de comunicaciones que estará relacionado en este documento. Sólo las personas relacionadas en el presente documento podrán tener acceso a los datos de los Ficheros. Autorizará de forma expresa la salida de soportes informáticos que contengan datos de los Ficheros fuera de los locales donde están ubicados los Ficheros. Se encargará de verificar la definición y correcta aplicación de las copias de respaldo y recuperación de los datos. Autorizar por escrito la ejecución de los procedimientos de recuperación de los datos, y cuidar de que quede constancia en el Registro de Incidencias de las manipulaciones que hayan debido realizarse para dichas recuperaciones, según lo establecido en el apartado 10 del presente documento. Analizar, junto con el Responsable de Seguridad, con una periodicidad al menos trimestral, las incidencias anotadas en el Registro de Incidencias, con el fin de adoptar las medidas correctoras que limiten esas incidencias en el futuro, con independencia de las medidas particulares que se hayan adoptado en el momento en que se produjeron las incidencias Funciones del Responsable de Seguridad El Responsable de Seguridad es el encargado de coordinar y controlar las medidas y procedimientos definidos en el presente documento Obligaciones del Responsable de Seguridad Coordinar la puesta en marcha de las medidas de seguridad. colaborar con el responsable del fichero en la difusión del Documento de Seguridad. así como cooperar con el Responsable de los Ficheros controlando el cumplimiento del mismo. Analizar las incidencias anotadas en el Registro de Incidencias, tomando las medidas oportunas en colaboración con el Responsable de los Ficheros. Verificar, con periodicidad al menos trimestral, el cumplimiento de previsto en el presente documento sobre Gestión de Soportes. Analizar los informes de auditoría que se realicen y proponer al Responsable de los Ficheros, las medidas correctoras correspondientes. Tener bajo su control, los mecanismos que permiten el registro de accesos. Revisar periódicamente la información de control registrada. Pág. 21 / 29

22 11.5. Funciones del personal usuario de los Ficheros Es el personal que debe acceder y tratar los datos contenidos en los Ficheros, con el fin de poder realizar su actividad Obligaciones del personal Los puestos de trabajo estarán bajo la responsabilidad de cada usuario autorizado que garantizará que la información que muestran no pueda ser visible por personas no autorizadas. Cuando el responsable de un puesto de trabajo lo abandone, bien temporalmente o bien al finalizar su turno de trabajo, deberá dejarlo en un estado que impida la visualización de los datos protegidos. Esto podrá realizarse a través de un protector de pantalla que impida la Visualización de los datos. La reanudación del trabajo implicará la desactivación de la pantalla protectora con la introducción de la contraseña correspondiente. En el caso de las impresoras deberá asegurarse de que no quedan documentos impresos en la bandeja de salida que contengan datos protegidos. Si las impresoras son compartidas con otros usuarios no autorizados para acceder a los datos de los Ficheros, los responsables de cada puesto deberán retirar los documentos conforme vayan siendo impresos. Queda expresamente prohibida la conexión a redes o sistemas exteriores de los puestos de trabajo desde los que se realiza el acceso al fichero, excepto autorización expresa del Responsable de Seguridad. Los puestos de trabajo desde los que se tiene acceso a los Ficheros tendrán una configuración fija en sus aplicaciones y sistemas operativos que sólo podrá ser cambiada bajo la autorización del Responsable de Seguridad. Cualquier usuario que tenga conocimiento de una incidencia es responsable de la comunicación de la misma al administrador del sistema, o en su caso de su anotación en el sistema de registro de Incidencias de los Ficheros. El conocimiento y la no notificación de una incidencia por parte de un usuario será considerado como una falta contra la seguridad de los Ficheros por parte de ese usuario. Los soportes que contengan datos de los Ficheros, bien como consecuencia de operaciones intermedias propias de la aplicación que los trata, o bien como consecuencia de procesos periódicos de respaldo o cualquier otra operación esporádica. deberán estar claramente identificados con una etiqueta externa que indique de qué fichero se trata, qué tipo de datos contiene, proceso que los ha originado y fecha de creación. Pág. 22 / 29

23 12. Controles periódicos de verificación del cumplimiento La veracidad de los datos contenidos en el presente documento, así como el cumplimiento de las normas que en él se contienen deberán ser periódicamente comprobados, de forma que puedan detectarse y subsanarse anomalías. El tipo y alcance de cada control se describe a continuación: TIPO DE CONTROL DESCRIPCIÓN RESPONSABLE FRECUENCIA Usuarios autorizados Se comprobará que la lista de usuarios autorizados establecida en el ANEXO 1, se corresponde con la lista de los usuarios realmente autorizados en la aplicación de acceso a los Ficheros. Responsable de Seguridad Trimestral Incidencias Se analizaran las incidencias constatadas en el Registro correspondiente para adoptar las medidas correctoras que limiten esas incidencias en el futuro. Responsable de Seguridad Trimestral Gestión de soportes Se comprobará el cumplimiento de lo previsto en relación con las entradas y salidas de datos, sean por red o en soporte magnético. Responsable de Seguridad Trimestral Copias de respaldo Se comprobará la existencia de copias de respaldo que permitan la recuperación de los Ficheros según lo estipulado en el Apartado 10 del presente documento. Responsable de Seguridad Trimestral Auditoria Se realizará una auditoria, externa o interna, que dictamine el correcto cumplimiento y la adecuación de las medidas del presente documento de seguridad a las exigencias del Reglamento de Seguridad, identificando deficiencias y proponiendo las medidas correctoras necesarias. Los informes de auditoría serán analizados por el Responsable de Seguridad, quién propondrá al Responsable de Ficheros las medidas correctoras correspondientes. Responsable de Ficheros Bienal El Responsable de Seguridad se encargará de revisar periódicamente la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados. Los resultados de todos estos controles periódicos, así como de las auditorias serán adjuntados en el ANEXO 9, CONTROLES PERIÓDICOS DE VERIFICACIÓN DEL CUMPLIMIENTO en este documento de seguridad. Pág. 23 / 29

24 13. Tratamiento de ficheros temporales Cualquier fichero temporal con datos de carácter personal, no creado automáticamente, tendrá una finalidad concreta y un responsable asignado. Los ficheros temporales cumplirán las medidas de seguridad correspondientes a su nivel, tal como están especificadas en el presente Documento de Seguridad. En el caso de ser necesaria la existencia de ficheros temporales con datos de carácter temporal, estos deberán estar autorizados por el responsable del fichero por escrito. Los ficheros temporales y los correos electrónicos que contengan datos de carácter personal, deberán ser borrados periódicamente (en el plazo máximo de un mes). Será función del responsable de Seguridad el correcto cumplimiento de esta política. Pág. 24 / 29

25 14. Tratamiento, comunicación de datos e Información Cesión de datos No se ceden ningún dato de carácter personal a ninguna empresa ajena a Tratamiento de los datos por terceros No existen tratamientos de los datos por parte de terceros. En el caso de encargarse de realizarse el tratamiento de los datos de alguno de los ficheros responsabilidad de ARCADI PLA a un tercero, se firmará un contrato de encargado del tratamiento donde se especificará la duración y finalidad del mismo (Anexo 9) Comunicación de datos del exterior, información sobre el acceso y rectificación de datos, ficheros creados y finalidad de los mismos En todo momento que se recopilan datos personales, se informa que dichos datos formaran parte de un fichero propiedad de, su finalidad y como ejercer los derechos en materia de protección de datos personales. A los trabajadores, se les informa con un documento que se les entrega a la firma del contrato y con información publicada en la intranet y lugares accesibles el siguiente texto: Apreciado trabajador, En cumplimiento de la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal (LOPD), Informa al trabajador que sus datos personales pasan a formar parte de unos ficheros de los que ARCADI PLA S.A, es responsable y titular, y donde sus datos personales serán tratados de manera automatizada. Las finalidades de los ficheros son el tratamiento de (i) los aspectos laborales propios de la relación laboral existente, (ii) la vigilancia de la salud del trabajador, (iii) la gestión de las contingencias en el trabajo, (iv) la realización de acciones formativas. Estos datos pueden ser comunicados a terceros sin el consentimiento expreso del titular de los mismos, siempre y cuando, dicha comunicación responda a una necesidad para el desarrollo, cumplimiento y control de la realización laboral existente o esté autorizada por una Ley, tal y como establece el artículo 11. Apartado 2. a) de la LOPD. Igualmente, informamos al trabajador de la posibilidad de ejercer, en los términos establecidos por la LOPD, los derechos de acceso, rectificación y cancelación al tratamiento de sus datos personales, mediante una comunicación dirigida al Responsable de Seguridad de ARCADI PLA S.A Pág. 25 / 29

26 Cada vez que se recoge un Curriculum Vitae (tanto personalmente, por correo electrónico, Web o cualquier otro medio), en un lugar visible existe el siguiente comunicado: Señor, En cumplimiento de la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal (LOPD), ARCADI PLA S.A, le informa que sus datos personales pasan a formar parte de un fichero del que, es responsable y titular, y donde sus datos personales serán tratados de forma automatizada. La finalidad del fichero es el tratamiento de sus datos personales en (i) procesos de selección de personal. El interesado autoriza de forma expresa al tratamiento de sus datos personales con esta finalidad. Sus datos, que fueron facilitados por usted, por su representante legal o por personas autorizadas, serán de uso exclusivo por parte de ARCADI PLA S.A y empresas del grupo, y no se prevén que sean comunicados a terceros. Igualmente, le informamos de la posibilidad de ejercer, en los términos establecidos por la LOPD, los derechos de acceso, rectificación, cancelación y oposición al tratamiento de sus datos personales, mediante el teléfono de contacto de Con domicilio social en la Calle Manel Quer N.9 Entlo. Pta (Girona), o bien enviando un correo electrónico a la dirección siguiente: sergi.ros@contratasyobras.com Cada vez que se recogen datos de clientes (tanto personalmente, por correo electrónico, Web o cualquier otro medio), en un lugar visible existe el siguiente comunicado: Apreciado cliente, En cumplimiento de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), le informamos que sus datos personales pasan a formar parte de un fichero automatizado propiedad de, con NIF A que tiene como finalidades (i) permitir y facilitar el cumplimiento de relación comercial existente, (ii) informar al interesado sobre productos, servicios o actividades que ARCADI PLA S.A y empresas del grupo., ofrecen a sus clientes y al público en general. El interesado autoriza de forma expresa al tratamiento de sus datos personales con estas finalidades. Igualmente, se solicita su consentimiento para poderle enviar la citada información comercial por medio del correo electrónico u otro sistema de comunicación electrónico equivalente. En el caso de que no desee recibir información comercial mediante el correo electrónico o cualquier otro sistema de comunicación, marque con una cruz la casilla del apartado siguiente y remita este escrito a la dirección que figura al final del documento. No deseo recibir información comercial de ARCADI PLA S.A y empresas del grupo Sus datos, que fueron facilitados por usted, por su representante legal o por personas autorizadas, serán de uso exclusivo por parte de ARCADI PLA S.A y empresas del grupo, y no se prevén que sean comunicados a terceros. De la misma forma, le informamos de la posibilidad de ejercer, en los términos establecidos en la LOPD, los derechos de acceso, rectificación, cancelación y oposición al tratamiento de sus datos personales, mediante el teléfono de contacto de de con domicilio social en la Calle Manel Quer N.9 Entlo. Pta (Girona), o bien enviando un correo electrónico a la dirección siguiente: sergi.ros@contratasyobras.com Pág. 26 / 29

27 En la recogida de datos de proveedores (tanto personalmente, por correo electrónico, Web o cualquier otro medio), en un lugar visible existe el siguiente comunicado: Apreciado proveedor, En cumplimiento de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), le informamos que sus datos personales pasan a formar parte de un fichero automatizado propiedad, con NIF A que tiene como finalidad (i) permitir y facilitar el cumplimiento de relación comercial existente. El interesado autoriza de forma expresa al tratamiento de sus datos personales con esta finalidad. Sus datos, que fueron facilitados por usted, por su representante legal o por personas autorizadas, serán de uso exclusivo por parte de y no se prevén que sean comunicados a terceros. De la misma forma, le informamos de la posibilidad de ejercer, en los términos establecidos en la LOPD, los derechos de acceso, rectificación, cancelación y oposición al tratamiento de sus datos personales, mediante el teléfono de contacto de de con domicilio social en la Calle Manel Quer N.9 Entlo. Pta (Girona), o bien enviando un correo electrónico a la dirección siguiente: sergi.ros@contratasyobras.com Web En las webs de la empresa existe un formulario para la recopilación de datos personales de posibles clientes o futuros trabajadores. Estos datos posteriormente pueden ser introducidos en los ficheros de ARCADI PLA S.A, por lo que para el cumplimiento de la Ley Orgánica 15/1999 de Protección de datos entre las obligaciones de la empresa como responsable del fichero, está la de obtener el consentimiento del interesado para el tratamiento o cesión de los datos y la de informar sobre los derechos que les asisten, así como sobre la identidad y dirección del responsable y sobre el uso que se va a dar a esos datos. En este sentido, tal y como dispone el artículo 6.1 de la Ley Orgánica 15/1999, El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa. Este consentimiento deberá ser, conforme a lo dispuesto en el artículo 3 h) libre, inequívoco, específico e informado, debiendo en consecuencia aparecer vinculado a las finalidades determinadas, específicas y legítimas que justifican el tratamiento de los datos. Para el cumplimiento de las obligaciones marcadas por la ley, en las páginas web de ARCADI PLA existe un aviso legal, donde se informa de manera, expresa e inequívoca: a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información. b) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición, dónde y cómo ejercitarlo c) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante. En cuanto al consentimiento informado, se cumple lo especificado en el informe jurídico 93/2008 de la Agencia Española de Protección de datos, referente a formas de obtener el consentimiento mediante web, donde se especifica que: este habrá de recabarse de tal forma que resulte imposible la introducción de dato alguno sin que previamente el afectado haya conocido el aviso legal, pudiendo servir como prueba del consentimiento la acreditación de que el programa impide introducir los datos sin antes haber aceptado el aviso legal al que hemos hecho referencia. Todo ello tiene por objeto asegurar que el consentimiento de los afectados sea efectivamente específico e inequívoco tal y como exige la Ley Pág. 27 / 29

28 Para ello, la web no permite el envío de ninguna información si no se han leído y aceptado las condiciones Difusión El Documento de seguridad se encuentra disponible en la intranet de la empresa, y accesible a todo el personal de la mima. Asimismo se ha informado a todo el personal de la existencia del Documento de Seguridad y se le ha enviado por correo electrónico del mismo, y un documento resumen formativo, donde se especifican sus obligaciones y las medidas implementadas por ARCADI PLA para el cumplimiento de la Ley 15/1999, de 13 de Diciembre, de protección de datos de carácter personal. Pág. 28 / 29

29 15. Legislación aplicable Este documento está regido por la legislación española vigente. Cualquier disputa derivada de este deberá dirimirse ante los tribunales de la ciudad de Barcelona, España. A continuación se relatan las leyes y normativas referentes a la protección de datos aplicables: - Ley Orgánica 15/99 de 13 de Diciembre de Protección de Datos de carácter personal - Real Decreto 1720/2007 de 21 de diciembre por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. - Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de Octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Pág. 29 / 29