El documento deberá contener, como mínimo, los siguientes aspectos:

Transcripción

1 INTRODUCCIÓN Mediante el REAL DECRETO 994/1999, de 11 de Junio se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal. El presente documento desarrolla el Artículo 8, punto 2 y 15 de dicho Reglamento. Su contenido se ha estructurado en seis puntos principales siguiendo el texto del citado artículo, que establece textualmente: El documento deberá contener, como mínimo, los siguientes aspectos: a) Ámbito de aplicación del documento con especificación detallada de los recursos protegidos. b) Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este Reglamento. c) Funciones y obligaciones del personal. d) Estructura de los ficheros con datos de carácter y descripción de los sistemas de información que los tratan. e) Procedimiento de notificación, gestión y respuesta ante las incidencias. f) Los procedimientos de realización de copias de respaldo y de recuperación de los datos. Además, dentro del documento es su apartado de Funciones y obligaciones del personal, se identifica al Responsable de Seguridad. También dentro de Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este Reglamento, se incluyen los apartados destinados a los controles periódicos para la verificación de lo dispuesto en este documento y las medidas a adoptar cuando se desecha o recicla un soporte.

2 ÁMBITO DE APLICACIÓN DEL DOCUMENTO Este documento tiene por objeto establecer las medidas de índole técnica y organizativas necesarias para garantizar la seguridad que deben reunir los ficheros automatizados, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento automatizado de los datos de carácter personal sujetos al régimen de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Definiciones Para una mejor comprensión del documento conviene dejar claro que se entenderá por: Sistemas de información: conjunto de ficheros automatizados, programas, soportes y equipos empleados para el almacenamiento y tratamiento de datos de carácter personal. Usuario: sujeto o proceso autorizado para acceder a datos o recursos. Recurso: cualquier parte componente de un sistema de información. Accesos autorizados: autorizaciones concedidas a un usuario para la utilización de los diversos recursos. Identificación: procedimiento de reconocimiento de la identidad de un usuario. Autenticación: procedimiento de comprobación de la identidad de un usuario. Control de acceso: mecanismo que en función de la identificación ya autenticada permite acceder a datos o recursos. Contraseña: información confidencial, frecuentemente constituida por una cadena de caracteres, que puede ser usada en la autenticación de un usuario. Incidencia: cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos.

3 Soporte: objeto físico susceptible de ser tratado en un sistema de información y sobre el cual se pueden grabar o recuperar datos. Responsable de seguridad: persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables. Copia de respaldo: copia de los datos de un fichero automatizado en un soporte que posibilite su recuperación. Niveles de Seguridad y Aplicación de los Niveles de Seguridad Las medidas de seguridad exigibles se clasifican en tres niveles: básico, medio y alto. Dichos niveles se establecen atendiendo a la naturaleza de la información tratada, en relación con la mayor o menor necesidad de garantizar la confidencialidad y la integridad de la información. Según el articulo 4 del reglamento la aplicación de los niveles de seguridad se llevará a cabo de la siguiente forma: 1. Todos los ficheros que contengan datos de carácter personal deberán adoptar las medidas de seguridad calificadas como de nivel básico. 2. Los ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y aquellos ficheros cuyo funcionamiento se rija por el artículo 29 de la Ley Orgánica 13/1999, deberán reunir, además de las medidas de nivel básico, las calificadas como de nivel medio. 3. Los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual así como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas deberán reunir, además de las medidas de nivel básico y medio, las calificadas de nivel alto. 4. Cuando los ficheros contengan un conjunto de datos de carácter personal suficientes que permitan obtener una evaluación de la personalidad del individuo deberán garantizar las medidas de nivel medio establecidas en los artículos 17, 18, 19 y Cada uno de los niveles descritos anteriormente tienen la condición de mínimos exigibles, sin perjuicio de las disposiciones legales o reglamentarias especificas vigentes.

4 MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS Y ESTANDARES ENCAMINADOS A GARANTIZAR EL NIVEL DE SEGURIDAD A continuación exponemos todas las medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad siendo todo ello de obligado cumplimiento por el personal de GES diferenciando por un lado lo referente a hardware y ubicación y por otro lado a software de aplicación y ficheros. Hardware y Ubicación - El acceso a los locales de la compañía se realizará siempre bajo el control de guarda jurado situado en la puerta de entrada (24 horas, 365 días). En la práctica cualquier empleado que necesite entrar en la Compañía fuera del horario de oficina debe comunicar por escrito su identificación fiscal, nombre, apellidos y motivo para que todo esto conste en la mesa de control del guarda jurado y éste controle la entrada y salida de cada uno, anotando en un listado de incidencias hora de llegada y hora de salida. - La puerta de acceso a la sala de servidores, en la segunda planta, está cerrada con llave de forma permanente. Sólo las personas autorizadas (responsable de seguridad, administradores y desarrollo), tendrán acceso a la zona de ubicación de servidores y salvo en casos excepcionales ninguna otra persona puede acceder. Si esto se produce, los responsables deberán anotar en un listado identificación de la persona, hora de entrada, hora de salida y motivo de la entrada. - La relación de personas con acceso físico a la sala de servidores del sótano - El local donde se guardan cartuchos, cintas y cualquier otro dispositivo de almacenamiento externo está cerrado con llave y sólo las personas autorizadas (responsable de seguridad, administradores y desarrollo) podrán acceder. Además dichas personas deben velar para que dicha puerta esté siempre cerrada e impedir la entrada forzada del personal no autorizado así como registrar las entradas excepcionales del personal no autorizado.

5 De igual forma en CALCULO S.A., entidad que presta a GES servicios de OUTSOURCING como encargado de tratamiento: - La posibilidad de entrar en sus locales está limitada por el uso de clave de acceso o con llave para las personas responsables de la seguridad en general. - En los contratos de prestación de servicios y en comunicaciones posteriores se ha solicitado a CALCULO S.A. que en la sala donde reside el HOST del que recibimos OUTSOURCING, como la sala de servidores ubicada en sus instalaciones se adopte por parte de esta compañía la misma actuación que en el punto anterior referido a GES, así como todos los requisitos de seguridad que le competen. Software de Aplicación y Ficheros - Cada persona tendrá un usuario y una clave asociada para el acceso a la red con niveles de autorización asignados por responsable del fichero y del sistema. Tanto el usuario como la clave son propiedad de esa persona y no deberá informar a terceros. Deben de poner el máximo cuidado en su utilización y absoluta confidencialidad en su archivo. - Los distintos niveles de autorización permiten acceder al aplicativo de cualquier software de aplicación de las existentes en la compañia. Los usuarios tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones, el responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a datos o recursos con derechos distintos de los autorizados y sólo el responsable de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los datos y recursos. - Siguiendo con los dos puntos anteriores y cumpliendo el artículo 11 de identificación y autenticación el responsable del fichero se encargará de que exista una relación actualizada de usuarios que tengan acceso autorizado al sistema de información y de establecer procedimientos de identificación y autenticación para dicho acceso, existiendo un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad. Las contraseñas se cambiarán con una periodicidad mensual y están almacenadas de forma que sólo el responsable del fichero puede acceder a ellas.

6 - Dentro de ARIES (software de aplicación más importante con el que trabajamos para la gestión del negocio propio de nuestra compañía) existen otra serie de controles: - Estadística de actividad por usuario con fecha, hora, ordenador desde el que realizó el acceso, aplicación a la que accede y ficheros utilizados. - Entrada restringida a ISQL (Interactive System Query Language) controlada por el administrador del sistema. - Extracción de consolas con las acciones realizadas contra los ficheros. - Copias de seguridad. - Log y Archive de base de datos. - La posibilidad de accesos externos a nuestra red a través de Internet está controlada por un FIREWALL. Además todos los accesos son registrados quedando constancia de quién, cuándo y qué ficheros ha tratado. - También los accesos efectuados a los distintos ficheros y aplicaciones residentes en GES, queda registrado en un log de accesos, indicando usuario y hora. - Las pruebas con datos reales se efectúan con el NIF A , perteneciente a GES SEGUROS Y REASEGUROS S.A.. El resultado de las mismas son destruidas una vez comprobados los resultados.

7 Medidas para que el Personal Conozca las Normas de Seguridad - Reunión inicial dentro de la Compañía, por grupos de trabajo, como introducción a la normativa sobre tratamiento de datos de carácter personal. En ésta se repasan punto por punto las exigencias de la ley y de su normativa de desarrollo, se hace una lectura del documento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal aprobado en GES. Asimismo se explica el procedimiento a seguir (contenido en los puntos que a continuación se relacionan) dentro de la Compañía para que todo el personal conozca las normas de seguridad vigentes y las posibles actualizaciones futuras. - El documento de medidas de seguridad estará guardado físicamente en una unidad de red a la que todo el personal de GES tendrá acceso para cualquier consulta que desee realizar. También estará disponible en la Intranet y extranet de la compañía para su consulta por parte de estos o de los agentes - El Responsable de Seguridad será el único responsable del mantenimiento y actualización de dicho documento. - Todas las personas de GES están obligadas al conocimiento y cumplimiento de lo expuesto en el documento y no pueden hacer ningún tipo de copia que salga fuera de la Compañía. - El desconocimiento de lo expuesto en el documento no exime de su cumplimiento. Todo el personal de GES está obligado a su conocimiento y en caso de tener dudas está obligado a preguntar al responsable y éste a su vez está obligado en aclarar cualquier duda que surja. - Las futuras modificaciones y/o actualizaciones se notificarán por correo interno a todo el personal, si bien cuando éstas sean significativas se evaluará y decidirá en el momento si es conveniente transmitirlo mediante una reunión por grupos de trabajo.

8 Gestión de Soportes - Los soportes informáticos que contienen datos de carácter personal permiten identificar el tipo de información que contienen, ser inventariados y almacenarse en un lugar con acceso restringido al responsable. - Cumpliendo lo estipulado en el artículo 13 de gestión de soportes, éstos dispositivos están perfectamente rotulados con el tipo de información que contienen y existe un inventario, revisado de forma periódica, con toda la información que existe en el local. El sistema de identificación, inventario y custodia de soportes. - Las mismas medidas de identificación y control se aplican a los soportes o dispositivos enviados a los cesionarios o encargados del tratamiento de la información, que siempre es autorizada por el responsable de seguridad. - Las medidas que se adoptarán para la destrucción, inutilización o reciclado de soportes. FUNCIONES Y OBLIGACIONES DEL PERSONAL Diferenciamos tres tipos de perfiles dentro del personal de GES dependiendo del nivel de autorización para acceder a datos de fichero y gestión y administración del sistema en general. Como el ordenador central esta subcontratado a CALCULO S.A., también existen medidas de seguridad para los tres tipos de perfiles, que a continuación vamos a ver, para poder acceder a nuestro sistema de información.

9 Administradores Personas que se dedican a la administración, control de recursos y autorizaciones del sistema en general. Derechos y obligaciones: - Conocen usuarios y claves. - Conocen periodicidad de cambiar claves. - Debe mantener confidencialidad de datos. - Conocen las consecuencias de incumplir sus obligaciones con respecto a la protección de datos. - Tienen acceso a todo tipo de datos. - No pueden realizar ningún tipo de copia que no sean las propias de seguridad. - Son los máximos responsables de la protección, seguridad, administración y gestión de los datos, del software y del hardware. Desarrollo Personas que se dedican al desarrollo de nuevas aplicaciones y mantenimiento de las ya existentes. Derechos y obligaciones: - Conocen sólo su usuario y su clave. - Deben mantener confidencialidad de datos. - Conocen las consecuencias de incumplir sus obligaciones con respecto a la protección de datos. - Tienen acceso sólo parcial a datos. - No pueden exportar o proporcionar a terceros ajenos a la compañía ningún tipo de copia.

10 - No pueden recabar información de ficheros cuyo acceso les haya sido denegado. En caso de necesitarlo debe cursar la petición. Usuarios Finales Personas que se dedican a la utilización de la aplicación únicamente en su fase de ejecución (ni desarrollo ni administración). Sus obligaciones son: Información y Autorización Previa - Todo empleado que en desarrollo de su trabajo recabe datos de carácter personal de clientes, proveedores, otros empleados o terceros en general para su incorporación a un fichero automatizado, deberá informarse previamente de las normas y requisitos establecidos en este documento y en su desarrollo, recabando la misma del departamento de informática y/o asesoría jurídica. Números de Identificación y Claves de Acceso - Queda prohibido comunicar a otra persona el identificador de usuario y la clave de acceso. Si el usuario sospecha que otra persona conoce sus datos de identificación y acceso debe ponerlo en conocimiento del responsable del sistema, con el fin de que le asigne una nueva clave. Ante una baja o ausencia temporal del usuario, el responsable del departamento podrá solicitar al responsable del sistema la cesión de clave o datos a la persona por él designada. - El usuario está obligado a utilizar la red corporativa y la intranet de GES y sus datos sin incurrir en actividades que puedan ser consideradas ilícitas o ilegales, que infrinjan los derechos de la empresa o de terceros, o que puedan atentar contra la moral o las normas de etiqueta de las redes telemáticas. - Están expresamente prohibidas las siguientes actividades: - Compartir o facilitar el identificador de usuario y la clave de acceso facilitados por GES con otra persona física o jurídica, incluido el personal de la propia empresa. En caso de incumplimiento de esta prohibición, el usuario será el único responsable de los actos realizados por la persona física o jurídica que utilice de forma no autorizada el identificador del usuario.

11 - Intentar distorsionar o falsear los registros LOG del sistema. - Intentar descifrar las claves, sistemas o algoritmos de cifrado y cualquier otro elemento de seguridad que intervenga en los procesos telemáticos de GES. - Destruir, alterar, inutilizar o de cualquier otra forma dañar los datos, programas o documentos electrónicos de GES o de terceros. (Estos actos pueden constituir un delito de daños, previsto en el artículo del Código Penal). - Obstaculizar voluntariamente el acceso de otros usuarios a la red mediante el consumo masivo de los recursos informáticos y telemáticos de la empresa, así como realizar acciones que dañen, interrumpan o generen errores en dichos sistemas. - Enviar mensajes de correo electrónico de forma masiva o con fines comerciales o publicitarios sin el consentimiento del destinatario (Spam). - Intentar leer, borrar, copiar o modificar los mensajes de correo electrónico o archivos de otros usuarios. (Esta actividad puede constituir un delito de interceptación de las telecomunicaciones, previsto en el artículo 197 del Código Penal). - Utilizar el sistema para intentar acceder a áreas restringidas de los sistemas informáticos de GES o de terceros. - Intentar aumentar el nivel de privilegios de un usuario en el sistema. - Introducir voluntariamente programas, virus, macros, applets, controles ActiveX o cualquier otro dispositivo lógico o secuencia de caracteres que causen o sean susceptibles de causar cualquier tipo de alteración en los sistemas informáticos de la entidad o de terceros. El usuario tendrá la obligación de utilizar los programas antivirus y sus actualizaciones para prevenir la entrada en el sistema de cualquier elemento destinado a destruir o corromper los datos informáticos. - Introducir, descargar de Internet, reproducir, utilizar o distribuir programas informáticos no autorizados expresamente por GES o cualquier otro tipo de obra o material cuyos derechos de propiedad intelectual o industrial

12 pertenezcan a terceros, cuando no se disponga de autorización para ello. - Instalar copias ilegales de cualquier programa, incluidos los estandarizados. - Borrar cualquiera de los programas instalados legalmente. - Utilizar los recursos telemáticos de GES, incluida la red Internet, para actividades que no se hallen directamente relacionadas con el puesto de trabajo del usuario. - Introducir contenidos obscenos, inmorales u ofensivos y, en general, carentes de utilidad para los objetivos de GES, en la red corporativa de la empresa. - Realizar actuaciones en Internet que se puedan considerar ataques a otros sistemas. - Enviar o reenviar mensajes en cadena o de tipo piramidal. - Realizar copia parcial o total de la información localizada en los servidores de GES o del propio PC del usuario siempre que no sea estrictamente para su trabajo o necesario para realizar adecuadamente sus funciones. Confidencialidad de la Información - Queda prohibido enviar información confidencial de GES al exterior, mediante soportes materiales, o a través de cualquier medio de comunicación, incluyendo la simple visualización o acceso. - Los usuarios de los sistemas de información corporativos deben guardar, por tiempo indefinido, la máxima reserva y no divulgar ni utilizar directamente ni a través de terceras personas o empresas, los datos, documentos, metodologías, claves, análisis, programas y demás información a la que tengan acceso durante su relación laboral con GES y empresas pertenecientes al grupo, tanto en soporte material como electrónico. Esta obligación continuará vigente tras la extinción del contrato laboral. - Ningún colaborador debe poseer, para usos no propios de su responsabilidad, ningún material o información propiedad de GES, tanto ahora como en el futuro.

13 - En el caso de que, por motivos directamente relacionados con el puesto de trabajo, el empleado entre en posesión de información confidencial bajo cualquier tipo de soporte, debe entenderse que dicha posesión es estrictamente temporal, con obligación de secreto y sin que ello le irrogue derecho alguno de posesión, o titularidad o copia sobre la referida información. Asimismo, el trabajador debe devolver dichos materiales a la empresa, inmediatamente después de la finalización de las tareas que han originado el uso temporal de los mismos, y en cualquier caso, a la finalización de la relación laboral. La utilización continuada de la información en cualquier formato o soporte de forma distinta a la pactada y sin conocimiento de la empresa, no supone, en ningún caso, una modificación de esta cláusula. - El incumplimiento de esta obligación puede constituir un delito de revelación de secretos, previsto en el artículo 197 y siguientes del Código Penal y dará derecho a GES a exigir al usuario una indemnización económica. Uso del correo electrónico - El sistema informático, la red corporativa y los terminales utilizados por cada usuario son propiedad de GES. - Ningún mensaje de correo electrónico es considerado como privado. Se considera correo electrónico tanto el interno, entre terminales de la red corporativa, como el externo, dirigido o proveniente de otras redes públicas o privadas, y, especialmente, Internet. Todos estos mensajes van abiertos. - GES se reserva el derecho de revisar, sin previo aviso, los mensajes de correo electrónico de los usuarios de la red corporativa y los archivos LOG del servidor, con el fin de comprobar el cumplimiento de estas normas y prevenir actividades que puedan afectar a GES como responsable civil subsidiario. - Cualquier fichero introducido en la red corporativa o en el terminal del usuario a través de mensajes de correo electrónico que provengan de redes externas debe cumplir los requisitos establecidos en estas normas y, en especial, las referidas a propiedad intelectual e industrial y a control de virus.

14 - Existe una nota enviada a todos los usuarios de correo electrónico con las normas para el uso del correo. Ver anexo incluido al final del documento. Acceso a Internet - El uso del sistema informático de GES para acceder a redes públicas como Internet, se limita a los temas directamente relacionados con la actividad de la Compañía y los cometidos del puesto de trabajo del usuario. - El acceso a debates en tiempo real (Chat/IRC) es especialmente peligroso, ya que facilita la instalación de utilidades que permiten accesos no autorizados al sistema, por lo que su uso queda estrictamente prohibido. - El acceso a páginas web (WWW), grupos de noticias (Newsgroups) y otras fuentes de información como FTP, etc. Se limita a aquellos que contengan información relacionada con la actividad de GES o con los cometidos del puesto de trabajo del usuario. - GES se reserva el derecho de monitorizar y comprobar, de forma aleatoria y sin previo aviso, cualquier sesión de acceso a Internet iniciada por un usuario de la red corporativa. - Cualquier fichero introducido en la red corporativa o en el terminal del usuario desde Internet, debe cumplir los requisitos establecidos en estas normas y, en especial, las referidas a propiedad intelectual e industrial y a control de virus. - Los accesos a Internet quedan registrados en un log y esta automatizado mediante correo electrónico al responsable de seguridad de el volumen de información descargado diariamente por los usuarios del sistema. Propiedad Intelectual e Industrial - Queda estrictamente prohibido el uso de programas informáticos sin la correspondiente licencia, así como el uso, reproducción, cesión, transformación o comunicación pública de cualquier tipo de obra o invención protegida por la propiedad intelectual o industrial.

15 Incidencias - Es obligación de todo el personal de GES comunicar al responsable del sistema cualquier incidencia que se produzca en los sistemas de información a que tengan acceso. - Se entiende por incidencia cualquier anomalía que afecte o pueda afectar a la seguridad de los datos. - Dicha comunicación debe realizarse en un plazo de tiempo no superior a una hora (1) desde el momento en que se produzca dicha incidencia. Protección de datos Actos prohibidos: - Crear ficheros de datos personales sin la autorización del responsable del fichero. - Cruzar información relativa a datos de diferentes ficheros o servicios con el fin de establecer perfiles de personalidad, hábitos de consumo o cualquier otro tipo de preferencias, sin la autorización expresa del responsable del fichero. - Cualquier otra actividad expresamente prohibida en este documento o en las normas sobre protección de datos e instrucciones de la Agencia de Protección de Datos. Responsable de Seguridad Recae en la persona de D. ALFONSO RODRIGUEZ ALVAREZ cuyas funciones son: - Velar por el cumplimiento de las normas de seguridad contenidas en el documento de seguridad.

16 - Recopilar y describir las medidas, normas, procedimientos, reglas y estándares de seguridad adoptados por GES. - Determinar el ámbito del documento de seguridad. - Determinar y describir los recursos informáticos a los que se aplicará el documento de seguridad. - Establecer y comprobar la aplicación del procedimiento de notificación, tratamiento y registro de incidencias. - Establecer y comprobar la aplicación del procedimiento de realización de copias de respaldo. - Elaborar y mantener actualizada la lista de usuarios que tengan acceso autorizado al sistema informático de GES, con especificación del nivel de acceso que tiene cada usuario. - Establecer y comprobar la aplicación del procedimiento de identificación y autenticación de usuarios. - Establecer y comprobar la aplicación del procedimiento de asignación, distribución y almacenamiento de contraseñas. - Comprobar el mantenimiento de la confidencialidad de las contraseñas de los usuarios. - Establecer y comprobar la aplicación del procedimiento de cambio periódico de las contraseñas de los usuarios. - Establecer y comprobar la aplicación de un procedimiento que garantice el almacenamiento de las contraseñas vigentes de forma ininteligible. - Establecer y comprobar la aplicación de un sistema que limite el acceso de los usuarios únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones. - Establecer y comprobar la aplicación de los mecanismos necesarios para evitar que un usuario pueda acceder a datos o recursos con derechos distintos a los autorizados. - Conceder, alterar o anular el acceso autorizados a los datos y recursos, de acuerdo con los criterios establecidos por el responsable del fichero.

17 - Establecer y comprobar la aplicación de un sistema que permita identificar, inventariar y almacenar en lugar seguro los soportes informáticos que contienen datos de carácter personal. - Autorizar la salida de soportes informáticos que contengan datos de carácter personal. - Coordinar y controlar las medidas definidas en el documento de seguridad. Destrucción de soportes informáticos. - Serán destruidos los CDs y disquetes cuando se desechen, imposibilitando que puedan ser utilizados o manipulados cuando esto ocurra. - Los discos duros de los equipos desechados serán retirados y formateados adecuadamente para suprimir la información que contengan, en el caso de ser reutilizados, en caso contrario, es decir, eliminación, se procede a su destrucción. PROCEDIMIENTO DE NOTIFICACIÓN, GESTIÓN Y RESPUESTA ANTE LAS INCIDENCIAS Con el objeto de dar debido cumplimiento a lo establecido en el art. 8.2 del Real Decreto 994/1999 de 11 de Junio, GES dispone de un procedimiento de notificación, gestión y respuesta de las incidencias, entendiendo por incidencia cualquier anomalía que afecte o pueda afectar a la seguridad de los datos. La descripción básica del procedimiento de notificación y tratamiento de incidencias es la siguiente: Notificación Cualquier persona que forme parte de la plantilla de GES o se halle prestando sus servicios temporalmente en la misma debe notificar inmediatamente al responsable de seguridad cualquier anomalía que detecte y que afecte o pueda afectar a la seguridad de los datos. El retraso en la notificación de incidencias constituye un quebranto en la buena fe contractual y será sancionable según las normas laborales de aplicación.

18 El procedimiento de notificación se realiza a través de cualquiera de estos medios, por orden de prioridad: - Teléfono directo del responsable de seguridad: Dirección de correo electrónico: seguridad@ges.es. Gestión El responsable de seguridad recibe las notificaciones de incidencias y las comunica al responsable del fichero para que proceda a su registro, así como a los técnicos internos o externos encargados de la seguridad del sistema. Respuesta El responsable de seguridad se asegura que los técnicos den respuesta inmediata a la incidencia detectada y supervisa el trabajo de subsanación de la anomalía detectada. Una vez finalizada la subsanación, envía un informe al responsable del fichero, con todos los datos requeridos para el registro de la incidencia. Registro El responsable del fichero, de conformidad con el art. 10 del Real Decreto 994/1999, ha creado un registro en soporte papel en el cual se hace constar la siguiente información relativa a las incidencias: - Tipo de incidencia. - Momento en el cual se ha producido la incidencia. - Persona que realiza la notificación. - Efectos derivados de dicha notificación. Es obligación del responsable del fichero mantener actualizado el registro de incidencias. Asimismo, es obligación del responsable del sistema gestionar las incidencias que pudieran producirse, en el menor tiempo posible, garantizando, en todo caso, que la seguridad de los datos de carácter personal no se vea alterada en ningún momento.

19 CONTROL DE CUMPLIMIENTO DEL DOCUMENTO DE SEGURIDAD Con periodicidad semestral y al margen de la Auditoría establecida en el artículo 17 del R.D. 994/1999, se llevará a cabo por parte del Responsable de Seguridad los controles sobre el cumplimiento de lo establecido en el presente Documento de Seguridad. El informe con el resultado del control se presentará al Comité de Dirección, junto con descripción de los motivos de incumplimiento, los infractores, las medidas de corrección que se consideren necesarias y el plazo de ejecución de las mismas. El responsable del sistema tomará las decisiones y medidas oportunas. Dichos informes se pondrán a disposición de la persona o personas que lleven a cabo la auditoría exigida por el Reglamento de Seguridad.