Las medidas de seguridad en el Reglamento RD-1720/2007. El cumplimiento de la seguridad en la LOPD, paso a paso

Transcripción

1 Las medidas de seguridad en el Reglamento RD-1720/2007 El cumplimiento de la seguridad en la LOPD, paso a paso

2 Resumen de principales novedades 1 Se incluye el concepto de tratamiento no automatizado (ficheros manuales) Niveles de seguridad de los ficheros Nivel básico: queda igual Nivel medio: se matiza su aplicación Nivel alto: violencia de género Documento de Seguridad Puede ser único para toda la organización, individual para cada fichero o tratamiento o agrupado por sistema de tratamiento. Art 5: identificación de los ficheros tratados por cuenta de terceros Art 6: delegación del Documento de Seguridad al encargado del tratamiento Identificación y autenticación La identificación inequívoca y personalizada de todo usuario pasa del nivel medio al básico. Art 93.1 Abril, 2008 Las medidas de seguridad del RD-LOPD 2

3 y 2 Resumen de principales novedades Control de acceso Se incluye el concepto de usuario, perfil de usuario y acceso autorizado. Gestión y distribución de soportes y documentos Las medidas para impedir la recuperación de datos en caso de desecho de bajan del nivel medio al básico. Se incluye el concepto de crypto-etiquetado para el nivel alto (art 101.1) Se incluye el concepto de documento, además del de soporte Copias de respaldo y recuperación Se incluye una verificación semestral de los procedimientos de copia Se incluye la cláusula de las pruebas con datos reales Registro de accesos Se incluye una excepción (art 103.6) a la existencia de este registro Además de lo anterior se añade toda la parte de las medidas de seguridad para los tratamientos no automatizados Abril, 2008 Las medidas de seguridad del RD-LOPD 3

4 Resumen medidas nivel Básico Ficheros automatizados y no automatizados Art. 89. Funciones y obligaciones del personal Art. 90. Registro de incidencias Art. 91. Control de acceso Art. 92. Gestión de soportes y documentos Sólo automatizados Sólo no automatizados Art. 93. Identificación y autenticación Art. 94. Copias de respaldo y recuperación Art Criterios de archivo - posibilitar derechos ARCO Art Dispositivos de almacenamiento - mecanismos apertura Art Custodia de los soportes - en el proceso de tramitación Abril, 2008 Las medidas de seguridad del RD-LOPD 4

5 Resumen medidas nivel Medio Ficheros automatizados y no automatizados Arts. 95 y 109: Responsable de seguridad Arts. 96 y 110: Auditoria Sólo automatizados Sólo no automatizados Art. 97. Gestión de soportes Art. 98. Identificación y autenticación Art. 99. Control de acceso físico Art Registro de incidencias Abril, 2008 Las medidas de seguridad del RD-LOPD 5

6 Resumen medidas nivel Alto Sólo automatizados Art Gestión y distribución de soportes Cifrado de datos. Evitar dispositivos que no permitan el cifrado Art Copias de respaldo y recuperación Art Registro de accesos Excepción: Responsable persona física y único usuario Art Telecomunicaciones Cifrado en redes públicas o inalámbricas Sólo no automatizados Art Almacenamiento de la información Archivadores, áreas restringidas Art Copia o reproducción Personal autorizado Art Acceso a la documentación Mecanismo identificación accesos por diferentes usuarios Art Traslado de documentación Impedir acceso, manipulación Abril, 2008 Las medidas de seguridad del RD-LOPD 6

7 El cumplimiento de la LOPD, A. Documéntese paso a paso B. Cumpla con los requisitos formales C. Cumpla con las obligaciones materiales D. Vigile y haga vigilar las medidas de seguridad Abril, 2008 Las medidas de seguridad del RD-LOPD 7

8 A.- Documentándose sobre la LOPD 1. Como punto de partida, examine nuestra página web ( 2. Lea la Ley Orgánica de Protección de Datos (LOPD, Ley 15/1999), 3. Lea la Ley Autonómica de Creación de la Agencia Vasca de Protección de Datos (LAVPD, Ley 2/2004), 4. Lea el nuevo Reglamento (RD-1720/2007), de Desarrollo de la LOPD Abril, 2008 Las medidas de seguridad del RD-LOPD 8

9 B.- Cumpliendo con los requisitos formales: 1. Efectuar el inventario más completo posible de los posibles ficheros de datos personales 2. Identificar las características necesarias para su declaración, recogidas en el artículo 20 de la LOPD y desarrolladas en el artículo 54 del RD-1720/ Cumplimentar, a modo de borrador, el Programa de Autodeclaración que facilita la AVPD en su página web 4. Confeccionar la disposición de regulación de ficheros 5. Aprobar dicha disposición y publicarla en el Boletín Oficial que corresponda 6. Cumplimentar definitivamente el Programa de Autodeclaración y remitir la declaración a la AVPD Abril, 2008 Las medidas de seguridad del RD-LOPD 9

10 C. Cumpliendo con las obligaciones materiales 1. Tratar adecuadamente los Datos Personales Recogida de datos Mantenimiento y actualización. Secreto Profesional 2. Facilitar a quienes figuren en los ficheros el ejercicio de sus derechos A.R.C.O. (Acceso, Rectificación, Cancelación y Oposición) 3. Otras Recomendaciones: Adopción de Códigos Tipo o Manuales de Buenas Prácticas Prestar atención a los contratos con terceros Proporcionar apoyo y formación al personal Abril, 2008 Las medidas de seguridad del RD-LOPD 10

11 D.- El Decálogo de las medidas de seguridad 1. Disponer de un Documento de Seguridad, y aplicarlo!!! 2. Designar un Responsable de Seguridad 3. Efectuar Auditorías y Controles periódicos 4. Definir y documentar las funciones y obligaciones del personal 5. Prever y gestionar las incidencias de seguridad 6. Disponer de controles y registros de accesos 7. Identificar y autenticar a los usuarios 8. Gestionar los accesos a través de la redes de comunicaciones 9. Gestionar los soportes y documentos donde se almacena la información 10. Procedimentar las copias de respaldo y recuperación Abril, 2008 Las medidas de seguridad del RD-LOPD 11

12 1.- Documento de Seguridad Establece y recopila: El Ámbito de aplicación. Las medidas, normas, procedimientos y estándares de seguridad. Las funciones y obligaciones del personal. La estructura de los ficheros y la descripción de los sistemas de información. Los procedimientos de gestión y respuesta ante incidencias. Los procedimientos de realización de las copias de respaldo y recuperación de datos. Las Medidas para el transporte, destrucción y reutilización de soportes. Aplicable a ficheros automatizados y manuales Además debe contener: La Identificación del responsable de seguridad. Los Controles periódicos del cumplimiento del documento. Abril, 2008 Las medidas de seguridad del RD-LOPD 12

13 2.- Responsable de Seguridad Debe existir uno o varios, designados por el responsable del fichero. Es el encargado de coordinar y controlar las medidas del documento de seguridad. En ningún caso esta designación supone una exoneración de la responsabilidad que corresponde al responsable del fichero Aplicable a ficheros automatizados y manuales Abril, 2008 Las medidas de seguridad del RD-LOPD 13

14 3.- Auditorías y Controles periódicos del Documento de Seguridad Al menos una auditoría cada dos años. Cuando se realicen modificaciones sustanciales Puede ser interna o externa. Debe dictaminar sobre: Adecuación de medidas y controles. Deficiencias identificadas Medidas correctoras necesarias. El responsable de seguridad debe: Analizar el informe de Auditoría Elevar sus conclusiones al responsable del fichero A disposición de la AVPD Aplicable a ficheros automatizados y manuales Abril, 2008 Las medidas de seguridad del RD-LOPD 14

15 4.- Funciones y obligaciones del Personal Las funciones y obligaciones habrán de estar claramente definidas y documentadas. Deben definirse las funciones de control y autorizaciones delegadas El personal debe conocer las normas que les afecten El personal debe conocer las consecuencias de su incumplimiento. Aplicable a ficheros automatizados y manuales Abril, 2008 Las medidas de seguridad del RD-LOPD 15

16 5.- Procedimiento de Gestión de Incidencias Debe existir un Registro de Incidencias con: tipo de incidencia, cuándo se ha producido, persona que la notificia, persona a quien se comunica efectos derivados. Aplicable a ficheros automatizados y manuales Además, debe contener: Procedimientos efectuados para recuperación de los datos, persona que lo ejecuta, datos restaurados datos grabados manualmente. Es necesaria la autorización por escrito del responsable del fichero para su recuperación. Aplicable solo a ficheros automatizados Abril, 2008 Las medidas de seguridad del RD-LOPD 16

17 6.- Controles y Registros de Accesos para ficheros automatizados Los usuarios accederán únicamente a los datos y recursos necesarios para sus funciones. Habrá mecanismos para evitar el acceso con distintos derechos de los autorizados. La concesión de derechos de acceso sólo la dará personal autorizado. Aplicable a ficheros automatizados y manuales Existirán controles de acceso físico a los locales donde se encuentren ubicados los sistemas de información. Existirá un Registro de Accesos donde figurará: usuario, hora, fichero, tipo acceso registro accedido. Estará bajo el control del responsable de seguridad. Se hará un informe mensual. Se conservará al menos durante 2 años. Aplicable solo a ficheros automatizados Abril, 2008 Las medidas de seguridad del RD-LOPD 17

18 6.- Controles y Registros de Accesos para ficheros manuales Los usuarios accederán únicamente a los datos y recursos necesarios para sus funciones. Habrá mecanismos para evitar el acceso con distintos derechos de los autorizados. La concesión de derechos de acceso sólo la dará personal autorizado. El acceso se limitará al personal autorizado. Habrá mecanismos para identificar los accesos a documentos disponibles para múltiples usuarios Procedimiento en el Documento de Seguridad para registrar los accesos de otras personas Aplicable a ficheros automatizados y manuales Aplicable solo a ficheros manuales Abril, 2008 Las medidas de seguridad del RD-LOPD 18

19 7.- Identificación y Autenticación Ha de existir una relación actualizada de usuarios y sus accesos autorizados. Se requiere un procedimiento de asignación y gestión de contraseñas Existirá un periodo de caducidad para las contraseñas. Se almacenarán de forma ininteligible. Se identificará univoca y personalmente a cada usuario Existirá un límite al número de intentos reiterados de acceso no autorizado. Aplicable solo a ficheros automatizados Abril, 2008 Las medidas de seguridad del RD-LOPD 19

20 8.- Acceso y transmisión mediante Telecomunicaciones Las medidas de seguridad exigibles a los accesos mediante redes de comunicaciones deberán de garantizar un nivel de seguridad equivalente al los accesos en modo local La transmisión de datos a través de redes de telecomunicaciones se realizará cifrando los datos o mediante cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros Aplicable solo a ficheros automatizados Abril, 2008 Las medidas de seguridad del RD-LOPD 20

21 9.- Gestión de Soportes para ficheros automatizados Debe identificarse el tipo de datos que contienen. Existirá un inventario de soportes Se almacenarán en un lugar con acceso restringido. Deberá autorizarse la salida de soportes. Aplicable a ficheros automatizados y manuales Habrá un registro de entrada y salida de soportes. Se adoptarán medidas para impedir la recuperación posterior de información de un soporte que vaya a ser desechado o reutilizado. Cuando sea necesario distribuir soportes, se hará cifrando los datos o mediante cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros. Aplicable solo a ficheros automatizados Abril, 2008 Las medidas de seguridad del RD-LOPD 21

22 9.- Gestión de Soportes y Documentos para ficheros manuales Se aplicarán criterios de archivo que permitan la conservación, localización y consulta Los dispositivos de almacenamiento tendrán mecanismos que obstaculicen su apertura Cuando la documentación no se encuentre archivada, su depositario deberá custodiarla e impedir accesos no autorizados Aplicable solo a ficheros manuales El acceso a armarios, archivadores, etc. estará protegido mediante puertas con cerradura. Cuando no se acceda, permanecerán cerradas. Soluciones alternativas, motivadas en el Documento de Seguridad Siempre que se proceda al traslado físico de documentación, deberán adoptarse medidas para impedir su acceso o manipulación Abril, 2008 Las medidas de seguridad del RD-LOPD 22

23 10.- Procedimientos de Respaldo y Recuperación Habrá procedimientos de copias de respaldo y recuperación y se verificará su definición y aplicación Se debe garantizar la reconstrucción de los datos al mismo estado en que se encontraban en el momento de producirse la pérdida o destrucción. Se deberán efectuar copias de respaldo, al menos de forma semanal Aplicable solo a ficheros automatizados Las copias de respaldo y los procedimientos de recuperación se conservarán en un lugar diferente de donde se encuentren los equipos. Abril, 2008 Las medidas de seguridad del RD-LOPD 23