Servicios de adaptación al marco legal vigente La Ley de Protección de Datos (LOPD) Ley de los Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI- CE) Otros servicios relacionados Consultoría de servicios de información y comunicaciones
Servicios de adaptación al marco legal vigente La Ley de Protección de Datos (LOPD) El rápido desarrollo de las nuevas tecnologías ha propiciado un cambio profundo en los medios y procedimientos de la actividad empresarial. Los Sistemas de Información se han ido convirtiendo paulatinamente en herramientas imprescindibles para la gestión de las tareas cotidianas que diariamente se llevan a cabo en las organizaciones. Estos cambios han hecho que el legislador elabore una serie de leyes que ordene el uso de las nuevas tecnologías y proteja los derechos de usuarios y consumidores. Toda organización debe cumplir con la legislación vigente y adecuar sus actividades al marco legal. Entre otras, hay que cumplir Ley Orgánica 15/99 de 13 de diciembre sobre Protección de Datos de Carácter Personal (LOPD), y el reglamento de medidas de seguridad e instrucciones de la Agencia de Protección de Datos. Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI-CE). Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones, que modifica algunos artículos de la LSSI y Reglamentos de desarrollo. Diferentes normas relativas a la Ordenación del Comercio Minorista, Defensa de los Consumidores, Condiciones generales de Contratación, etc. Ley 59/2003 de 19 de diciembre de Firma Electrónica. La Ley de Protección de Datos trata de proteger el derecho constitucional de las personas al honor y la intimidad. Para ello se establecen una serie de requisitos y procedimientos a seguir durante el proceso de tratamiento de datos personales. La Ley dispone que toda organización que disponga de información sobre datos personales (datos de clientes, proveedores, asociados, etc.) debe cumplir una serie de requisitos y debe inscribir los ficheros con los datos en la Agencia Española de Protección de Datos. Tiene como objetivo: "Garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos Establece la Ley: Los principios para la protección de datos, los derechos de información en la recogida de datos, de consentimiento del titular y los derechos de rectificación y cancelación. Obliga a la notificación e inscripción de los ficheros, en el registro de la Agencia Española de Protección de Datos, que contengan datos personales. Entendiendo estos ficheros como: "Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso." La organización debe cumplir con todas las obligaciones establecidas en la LOPD: notificar al titular de obligatoriamente con las siguientes fundamentales de las personas físicas, y los datos sobre la inclusión de éstos normas: especialmente de su honor e intimidad en un fichero, facilitar el derecho a la personal y familiar." consulta, modificación, rectificación 2 3
y cancelación de los mismos, cumplir el deber de secreto profesional, necesarias para garantizar la seguridad que deben disponer los participando nuestros técnicos de seguridad informática en el Análisis de los datos tratados por la organización y determinación del mantener las medidas de seguridad de protección de los ficheros, con el fin de protegerlos de alteración, ficheros automatizados, los centros de tratamiento, locales, equipos, sistemas, programas y las personas desarrollo de la metodología, implantación y elaboración de los procedimientos de seguridad Nivel de Seguridad Aplicable. Legitimación de los datos. Análisis del consentimiento de terceros para el pérdida, tratamiento o acceso no que intervengan en el tratamiento de necesarios para la protección de los tratamiento de sus datos de carácter autorizado, etc. los datos de carácter personal. datos personales. personal. Revisión de los contratos existentes (subcontratas, gestorías Para garantizar la seguridad de los La LOPD contempla infracciones y laborales, contables, proveedores, datos, los responsables de los sanciones para aquellos que no la Auditoría de cumplimiento de la etc...) de forma que exista un acuerdo ficheros: "Deberán adoptar las medidas cumplan, dividiéndolas en LOPD de cesión de los datos personales de índole técnica y organizativas infracciones leves, graves y muy sujetos a la LOPD. La revisión de necesarias que garanticen la seguridad graves, con multas que van desde los Los Auditores de I-Systems cláusulas en los contratos laborales de de los datos de carácter personal". Las medidas de Seguridad las 600 hasta los 600.000. A modo de ejemplo: Entre las infracciones leves se incluye, no notificar, a la Agencia desarrollan los trabajos necesarios para comprobar el grado de cumplimientos de las obligaciones los empleados, etc. Evaluación de la documentación o procesos automatizados de captura establece el Reglamento Medidas de de Protección de Datos la creación de que la LOPD y el Reglamento de de datos para su correcta adaptación Seguridad de los Ficheros Automatizados que contengan Datos de Carácter Personal. Estas medidas un fichero. Entre las graves: El no adoptar las medidas de seguridad establecidas en La Ley. Medidas de Seguridad. Se comprueba: a la Ley. Revisión de la situación de los ficheros inscritos en el Registro de la dependen del tipo de dato personal, en base al cual se establecen los procedimientos de seguridad a implantar. El Reglamento tiene por objeto establecer las medidas de índole técnica y organizativas I-Systems desarrolla sus trabajos de adaptación de las organizaciones a la LOPD, desde la perspectiva jurídica, pero dando una importancia relevante a la tecnológica, El establecimiento de medidas organizativas, jurídicas y técnicas para respetar la seguridad de dichos datos, dentro de los parámetros requeridos por la Ley. Agencia española de Protección de Datos. Revisión del contenido del Documento de Seguridad. Revisión de las medidas de seguridad: Instalaciones y 4 5
almacenamiento, protección y Los trabajos que se desarrollan son: análisis del nivel de seguridad obtenidos al aplicar las Medidas de procedimientos, registro de los corporativo. Así mismo, se Seguridad Informática se mantienen accesos, copias de seguridad, etc. Tras estudiar toda la información recogida, se redacta un informe con Inscripción en registro de los Ficheros de Datos Personales. Elaboración del Documento de Seguridad según el nivel de los recomendaran las herramientas más adecuadas para asegurar y proteger los sistemas de información de la organización. adecuadamente. En el informe de Auditoría se detallan todos los posibles las recomendaciones para adecuar la organización a la empresa y las medidas correctoras a desarrollar. datos. Adaptación de la documentación de la organización: Contratos, La documentación que se entrega consta de: Documentos acreditativos incumplimientos que se hayan detectado así como posibles recomendaciones de cara a poder formularios, tratamientos por de la inscripción de los ficheros, mejorar la seguridad de la terceros, las cesiones o Documento de Seguridad. Textos organización. En el caso de Adaptación a la LOPD comunicaciones de datos, los legales a incluir en la documentación encontrarse deficiencias o cambios En esta fase, teniendo en cuenta los resultados y recomendaciones de la contratos laborales, etc... Adecuación de la página Web y los entornos virtuales a la recogida y de la organización. Procedimientos de Seguridad, Manual de Formación, Informe de Auditoria sobre la en la actividad productiva de la organización, será necesario realizar las medidas correctivas necesarias. Auditoría de Cumplimiento, se desarrolla el plan para implantar los cambios necesarios en la organización para la adaptación a la LOPD. tratamiento de datos personales. Aplicación de las Medidas de Seguridad informática. Desarrollo de los procedimientos de Seguridad. Formación sobre la LOPD. adecuación a la LOPD, etc... Auditoría bienal La auditoría bienal es un requisito Esta auditoría tiene que estar a Este trabajo se realiza teniendo en obligado por la LOPD para los cuenta la operatividad de la Al finalizar los trabajos, se generará niveles de seguridad medio y alto, y organización, de forma cómoda y sin una extensa y detallada es recomendable para el básico. que suponga alteraciones en su documentación en la que se Esta auditoría es una comprobación normal funcionamiento. expondrán todos los resultados del de que los niveles de seguridad 6 7
Ley de los Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI- CE) disposición de la Agencia Española de producidos en la organización y en Esta Ley incorpora al ordenamiento La LSSI-CE regula nuevas garantías Protección de Datos que las reconoce la Legislación. Nuestros Asesores jurídico español determinados y derechos para los usuarios en como válidas para el cumplimiento de atienden cualquier incidencia que aspectos de los servicios de la Internet, entre otros: lo establecido en el Reglamento de surja en el tratamiento de los Datos Sociedad de la información, regulan Medidas de Seguridad. personales. Se realiza una visita semestral para revisar el sistema e todas las actividades que se realicen por medios electrónicos y tengan El derecho a obtener información sobre los prestadores de servicios y incluye la Auditoría Bienal carácter comercial o persigan un fin los precios de los productos o Servicio de mantenimiento de adecuación a la LOPD obligatoria. Realizamos periódicamente un boletín informativo con noticias, novedades económico. Afecta a todas las organizaciones servicios que ofrecen. El derecho a conocer la identidad de los anunciantes, a no recibir Este servicio persigue el mantener el y consejos relacionados con la que hagan uso de Internet, desde mensajes promociónales no cumplimiento Legal ante los cambios Protección de Datos. las que simplemente disponen de solicitados y a oponerse en cualquier páginas web, donde muestra sus momento a la recepción de los que servicios o productos, hasta aquellas que obtiene beneficio de cualquier clase a través de este hubieran autorizado, etc. En la contratación electrónica, derecho a conocer los pasos medio, las que realizan comercio necesarios para contratar por electrónico y a las empresas que Internet, a acceder a las condiciones prestan servicios de Internet: generales de la contratación antes de operadores de telecomunicaciones, realizar un pedido y a obtener un proveedores de acceso a Internet acuse de recibo del vendedor que le (ISPs), prestadores de servicios asegure que su pedido ha llegado al de alojamiento de datos, vendedor, garantiza el regimenes de buscadores, etc. protección que contempla la Ley de 8 9
ordenación del comercio minorista para las ventas a distancia, etc. Obliga a las organizaciones a informar de una serie de aspectos legales en sus páginas web, actuar de forma diligente en las comunicaciones electrónicas con sus usuarios, y garantizar e informar de La Ley contempla infracciones y sanciones para aquellos que no la cumplan dividiéndolas en infracciones leves, graves y muy graves, con multas que van desde los 3.000 hasta los 600.000. A modo de ejemplo: entre las infracciones leves se incluye, no notificar, los personales, la contratación electrónica, la legalidad de las comunicaciones, etc. En el informe de Auditoría se detallan todos los posibles incumplimientos que se hayan detectado así como las recomendaciones para adaptarse Alta de Dominios en el Registro Mercantil. Redacción de la información legal necesaria. Desarrollo de la Política de Privacidad. Adaptación a las obligaciones sobre la contratación electrónica y la los derechos de los clientes en las datos de inscripción en el Registro a la Ley. protección de los derechos de los actividades de Comercio Electrónico. Mercantil o el NIF. Entre las graves: no informar del nombre de la empresa o no poner a disposición de los usuarios las condiciones de contratación. Adaptación a la LSSI-CE I-Systems desarrolla los trabajos de adaptación a la Ley, que incluyen: consumidores. Elaboración de las Condiciones Generales de contratación. Adecuación de las comunicaciones comerciales por vía electrónica. Informe final de cumplimiento. Auditoría de cumplimiento de la LSSI-CE Los Auditores de I-Systems comprueban el grado de cumplimiento de las obligaciones que la LSSI-CE exige, revisan las páginas web de la organización, la información legal, la política de privacidad, la protección de datos 10 11
Otros servicios relacionados Consultoría de seguridad Auditoría de Proveedores de Servicios de Certificación Digital (PSCs). Sello ASIMELEC. Auditorías de Sistemas de Gestión de Seguridad en la Información (SGSI). Auditorías de Calidad de Servicios de Telecomunicaciones. Auditoría de cumplimiento Legal de Operadores de Telecomunicaciones y Proveedores de Servicios de Internet. Evaluación, desarrollo, implantación y mantenimiento de Sistemas de Gestión de Seguridad en la Información (SGSI), de acuerdo con la norma ISO 17799. Auditoría de Pre certificación del SGSI según las normas UNE 71502 ó BS 7799-2. Auditoría de cumplimiento de normas de accesibilidad web. Auditoría de seguridad informática Diseño e implementación de: Planes de Seguridad Corporativos. Políticas de Seguridad. Análisis de Riesgos. Planes de Contingencia. Redes corporativas seguras. Redes Privadas Virtuales. Soluciones de Seguridad Perimetral. Sistemas de autenticación. Políticas antivirus. Soluciones de Certificación Digital. Políticas de backup. Asesoramiento ante incidencias y desastres. Evaluación de Seguridad de los Sistemas de Información. Análisis integral de vulnerabilidades. Test de Intrusión Externo. e Interno. Test de Denegación de Servicio. Auditoría DMZ. Auditoría de Comunicaciones. Auditoría de Red Interna. Test de Firewall. Análisis de Aplicaciones. 12 13
Libertad 35. 28936, Móstoles - Madrid. España Tel: (+34) 91 789 58 00 Fax: (+34) 91 533 49 72 E-mail: comercial@i-systems.es