Hécate GDocS Gestión del documento de seguridad Ley Orgánica de Protección de Datos 2005 Adhec - 2005 EFENET
1. GDocS - Gestión del Documento de Seguridad GDocS es un programa de gestión que permite mantener y administrar el Documento de Seguridad, tal y como viene recogido en la normativa vigente, en España, en materia de protección de datos de carácter personal (LOPD 15/1999 y RD 994/1999) La gestión del Documento de Seguridad está enfocada y diseñada para facilitar, a los Responsables de Seguridad, Administradores y Operadores con acceso a datos de carácter personal, toda la dirección de los ficheros, personal, equipos, sistemas de información, aplicaciones informáticas, incidencias, auditorías. Además, permite la integración de información de diversas organizaciones de tal forma que desde un único sistema se pueden gestionar multitud de Documentos de Seguridad. elaborar el Documento de Seguridad, sino también a mantenerlo constantemente actualizado, reflejando en él cualquier cambio relevante que se produzca en la organización o en los sistemas de información que tengan acceso al Fichero. El contenido mínimo de un Documento de Seguridad deberá recoger al menos los siguientes apartados: - Ámbito de aplicación - Medidas, normas y procedimientos - Personal - Ficheros - Incidencias - Seguridad - Gestión de soportes Cada uno de ellos adaptados al nivel de seguridad aplicable al fichero, a continuación se detalla una tabla con el contenido y el nivel de seguridad aplicable para los puntos anteriores. 1.2 Procedimientos de gestión en el documento de seguridad 1.1 Documento de Seguridad El Documento de Seguridad es un documento, elaborado por el Responsable del Fichero de datos de carácter personal, en el cual se establecen e implantan las medidas de seguridad que deben aplicarse a los ficheros que tratan datos de carácter personal y a los sistemas de información que los gestionan. En ll Documento de Seguridad se han de establecer y recoger la serie de normas y procedimientos que posibiliten la aplicación de una serie de medidas, tanto a nivel técnico como organizativo, requeridas por el nivel asociado al fichero, de tal forma que tendremos medidas para los niveles: - Básico - Medio - Alto El contenido del Documento de Seguridad ha de ser adecuado al nivel de seguridad aplicable en cada caso. Para ello, se tendrá siempre presente la naturaleza de los datos recogidos e incorporados al fichero. El contenido es de obligado cumplimiento para todas las personas que tengan acceso al fichero de datos de carácter personal. El Responsable del Fichero no sólo está obligado a 2005 Adhec - 2005 EFENET 2
Requisitos Básico Medio Alto Ambito Especificación detallada de los recursos protegido X X X Identificación del Responsable del Fichero X X X Indicación de la empresa, entidad u organización X X X Controles periódicos de verificación - X X Medidas, normas y procedimientos Medidas de seguridad existentes X X X Relación de los tipos de conexiones remotas X X X Sistemas de protección existentes X X X Personal Relación actualizada de los usuarios X X X Relación de personas o empresas ajenas a la organización X X X Relación actualizada de administradores X X X Sistema de asignación de contraseñas X X X Responsable de Seguridad - X X Ficheros Estructura de los ficheros X X X Sistema informático de acceso a los ficheros X X X Programas informáticos utilizados para el tratamiento X X X Ubicación física del fichero X X X Incidencias Registro de Incidencias X X X Procedimiento de recuperación de los datos de incidencias X X Seguridad Procedimiento para la realización de copias de respaldo X X X Procedimiento para la recuperación de los datos X X X Periodicidad de las copias de respaldo o de seguridad X X X Procedimiento de contraseñas X X X Número de reintentos de acceso no autorizado - X X Sistema de control de acceso a los locales con ficheros de datos - X X Registro de Accesos - - X Separación de copia de respaldo y del procedimiento de recuperación- - X Transmisión cifrada de datos - - X Gestión de soportes Etiquetado de los soportes X X X Inventariado de los soportes X X X Acceso controlado del personal autorizado X X X Procedimiento de autorizaciones de salida de soportes X X X Procedimiento de baja de soportes - X X Registro de entrada y salida de soportes - X X Distribución de soportes informáticos cifrada - - X 2005 Adhec - 2005 EFENET 3
2. GDocS, gestor del Documento de seguridad GDocS (Gestor del Documento de Seguridad) ha sido diseñado para dar una perfecta cobertura en todos los aspectos exigidos por la legislación vigente, en materia de protección de datos de carácter personal. Permitiendo, al mismo tiempo, un mantenimiento y actualización a través de un sencillo interfaz, tanto dentro de entornos empresariales como corporativos. Todo ello planteado desde el más estricto cumplimiento legislativo tanto de los puntos a gestionar, como del planteamiento de la propia herramienta, de tal forma que con su utilización se garantiza la capacidad de acceder a todos los requisitos legalmente exigidos. 2.1 Gestión del Documento de Seguridad La administración del contenido del Documento de Seguridad, se encuentra catalogada por secciones que abarcan todos los requisitos documentales exigidos por la legislación vigente en materia de protección de datos. Un elemento a destacar dentro de la administración es la importación de datos generados por el programa RGPD-Privado de la Agencia Española de Protección de Datos, esta importación facilita el mantenimiento y homogeniza todos los datos referidos al fichero y que deben figurar en el documento de seguridad. Conscientes de la diversidad de las estructuras organizativas GDocS se adapta a las necesidades de las más pequeñas organizaciones como a las complejas configuraciones de las corporaciones. Por ello, en aquellos casos en los que la gestión de la información se lleva a cabo desde un único centro de tratamiento de datos, se permite administrar diferentes ficheros titularidad de diferentes Responsables de Ficheros. Esta gestión además puede llevarse a cabo dentro de sistemas distribuidos, tal y como se explicará más adelante. 2005 Adhec - 2005 EFENET 4
2.2 Administración múltiple La situación más habitual dentro de las organizaciones es la existencia de varios ficheros, que realicen tratamiento de datos de carácter personal, está situación implica la gestión de tantos documentos de seguridad como ficheros. Con este planteamiento la información puede ser compartida entre todos los ficheros. De estas propiedades cabe destacar las siguientes: - Compartir información común - Exportar datos de unos ficheros a otros - Revisiones extensibles a todos los ficheros Asimismo, existen multitud de organizaciones donde la gestión de los sistemas de información se encuentra centralizada en un único centro de proceso de datos. Ante esta situación las organizaciones se encuentran con la necesidad de administrar multitud de documentos de seguridad. Para dar solución a esta problemática, GDocS esta diseñado de tal forma que permite realizar una administración centralizada de la información recogida en todos los documentos de seguridad de la organización, de tal forma que con una única herramienta de trabajo se mantienen y gestionan todos los Documentos de Seguridad que posea la organización En estos casos la situación es una ampliación de la anterior, múltiples ficheros en múltiples varias empresas. Siguiendo el planteamiento anterior para múltiples ficheros, GDocS permite gestionar simultáneamente varias empresas y todo bajo el mismo entorno de trabajo. 2.3 El documento de seguridad Como se ha descrito anteriormente, la finalidad de GDocS es la administración del Documento de Seguridad. Llegados a este punto, y ante una situación en la que sea necesario disponer impreso el Documento de Seguridad, GDocS lo genera de forma automatizada. La generación del Documento de Seguridad se realiza a nivel de fichero, para ello la aplicación toma todos los datos asociados al fichero, los cuales son Datos de administración, son los datos que se han introducido en la administración del documento de seguridad y que son específicos de cada fichero 2005 Adhec - 2005 EFENET 5
Datos legislativos, estos datos son comunes a todos los documentos de seguridad y hacen referencia a los requisitos legales en materia de protección de datos exigidos al fichero, vienen precargados en GDocS. GDocS dispone de los siguientes complementos: - Auditor de red - Copias de seguridad - Gestión de tareas - Repositorio de documental - Mensajería interna - Gestión avanzada de usuarios - Seguimiento del ejercicio de los derechos - Importación desde RGPD Privado - Importación desde otras aplicaciones Auditor de red. De una forma sencilla se puede acceder a todos los recursos de red obteniendo los datos más significativos de cada recurso. Facilitando así su control dentro del Documento de Seguridad. Una vez generado del Documento de Seguridad, esté puede ser impreso o guardado en soporte magnético. 2.4 Complementos de administración Con la finalidad de llevar facilitar la administración de los Documentos de Seguridad, GDocS dispone de una serie de complementos que permiten llevar a cabo procesos, tratamientos y procedimientos sobre los ficheros de tal forma que su mantenimiento resulte más sencillo. Copia de seguridad. El conjunto de datos de los Documentos de Seguridad puede ser salvado a un soporte externo, con la finalidad de mantener una copia de seguridad, para su restauración en el caso de que se produzca alguna contingencia en GDocS. Gestión de tareas. Los administradores y usuarios de GDocS pueden programar avisos y alertas que les sirvan de recordatorio de tareas o eventos a llevar a cabo en el Documento de Seguridad. 2005 Adhec - 2005 EFENET 6
Repositorio de documental. Toda la documentación asociada a los ficheros (contratos, cláusulas, ) queda asociada al mismo y almacenada en GDocS. De tal forma, que está accesible a todos los usuarios de la aplicación Importación desde privado RGPD Privado, es el programa de la Agencia Española de Protección de Datos que permite la declaración de ficheros. Mensajería interna. Tanto administradores como usuarios, pueden dejar mensajes o avisos unos a otros. Gestión avanzada de usuarios. Los administradores gestionar de usuarios, asignando perfiles de acceso a las diferentes secciones de la aplicación, combinando el acceso en modos de lectura y escritura. Seguimiento del ejercicio de los derechos. Con la finalidad de controlar el cumplimiento de los plazos legislativos exigidos para la garantía de los derechos del afectado, se puede llevar a cabo esta gestión, control y seguimiento, hasta la garantía final del derecho, desde la aplicación. La administración contempla todos los pasos a seguir, así como plantillas y modelos para el ejercicio de cada derecho. Una vez finalizada se procede a la disociación de los datos de carácter personal de los afectados. Desde GDocS se puede llevar a cabo la importación de datos simplificando así el mantenimiento y homogenizando todos los datos referidos al fichero y bajo los cuales a sido declarado. Importación desde otras aplicaciones En el caso de que existiera la necesidad de importar datos desde sistemas diferentes de GDocS, se puede llevar a cabo utilizando el formato Xml de acuerdo a las especificaciones fijadas en el Manual de Referencia de GDocS 2.5 Administración centralizada La gestión del documento de seguridad debe llevarse a cabo en los lugares donde se realiza el tratamiento del mismo. Sin embargo, se presenta la situación de organizaciones donde parte del proceso de los datos de la organización se lleva a cabo de forma remota desde una central de proceso. De tal manera que en cada centro de trabajo se realiza un tratamiento específico de los ficheros con datos de carácter personal, que puede ser monitorizado desde la central GDocS ofrece una solución a esta situación permitiendo realizar una gestión distribuida de los documentos de seguridad situados en las instalaciones de los cen- 2005 Adhec - 2005 EFENET 7
tros de trabajo, de tal forma que la central tiene la capacidad de de gestionar todos y cada uno de los Documentos de Seguridad ubicados en los diferentes centros de trabajo, mediante un proceso de conexión remota No obstante, puede darse la situación en la que, por motivos de conexión, no puede llevarse a cabo la gestión remota de los Documentos de Seguridad ubicados en los centros de trabajo. Para resolver estos casos, los centros de trabajo funcionan como unidades independientes y en la central se mantiene una copia de la base de datos del centro de trabajo. Periódicamente se llevaría a cabo una actualización de los Documentos de Seguridad del centro de trabajo desconectado de la red. 2005 Adhec - 2005 EFENET 8
Aviso legal: Los derechos de propiedad intelectual de todos los contenidos de este documento, su diseño gráfico y textos son titularidad de EFENET Igualmente, todos los nombres comerciales, marcas o signos distintos de cualquier clase contenidos en este documento son propiedad de sus dueños y están protegidos por la ley. Por tanto, queda prohibida cualquier duplicación, reproducción, comunicación pública, transformación, uso de la información contenida, cualquier otra actividad que se pueda realizar con parte o la totalidad del presente documento o así como cualquier otra posible acción u omisión ni aún citando las fuentes, salvo consentimiento de EFENET 2005 Adhec - 2005 EFENET 9