PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

Documentos relacionados
Servicio de Salud de las Islas Baleares Oficina de Tecnologías de la Información y Comunicación

10. NORMAS DE USO DEL SISTEMA INFORMÁTICO DE LA JUNTA GENERAL

Polí%cas de Seguridad y Respaldos de Información

NORMAS PARA TRABAJAR FUERA DE LAS INSTALACIONES

FUNCIONES Y OBLIGACIONES DEL PERSONAL DE CÁRITAS DIOCESANA DE SEGORBE-CASTELLÓN

Normativa de uso del correo electrónico de la UNED (Aprobado por el Comité de Seguridad de la Información el 22 de noviembre de 2016)

Proyecto de Normativa de seguridad y buen uso del Sistema de Información de la UNED

PROTOCOLO SOBRE MEDIDAS DE SEGURIDAD RECURSOS TIC

NORMAS PARA TRABAJAR FUERA DE LAS INSTALACIONES

NORMAS DE ACCESO A INTERNET

LINEAMIENTOS PARA EL USO DE INTERNET Y CORREO ELECTRÓNICO DEL INSTITUTO DE ACCESO A LA INFORMACIÓN PÚBLICA DEL DISTRITO FEDERAL

2. El uso de recursos tecnológicos para tratar la información tiene una finalidad doble para el Servicio de Salud:

POLÍTICA DE SISTEMAS DE INFORMACION DE TECUNI S.A.

PO-1TI-001. Código: Versión: Elaborado por: - Gerencia de IT. Página: Revisado por: - Gerencia de IT. Page 1 of 5

POLÍTICA DE SEGURIDAD PARA LA IDENTIFICACIÓN Y AUTENTICACIÓN DE USUARIOS P03

REGLAMENTO INTERNO PARA EL USO DE EQUIPO DE CÓMPUTO, INTERNET Y CORREO ELECTRONICO

Inscrita en el Registro de Asociaciones de la Comunidad de Madrid con el nº

POLÍTICA DE TI CUENTAS DE USUARIOS 1 PROPÓSITOS ALCANCES RESPONSABLES DEL CUMPLIMIENTO INCUMPLIMIENTOS DEFINICIONES...

LINEAMIENTOS GENERALES PARA EL USO DEL SISTEMA INSTITUCIONAL DE CORREO ELECTRÓNICO

Objetivo: Establecer y definir con claridad los lineamientos para el uso y administración de Tecnología de Información de Nacional Financiera

Se considerará terminantemente prohibido el uso de la presente página Web con fines ilegales o no autorizados.

AVISO LEGAL Y POLITICA DE PRIVACIDAD

FUNCIONES Y OBLIGACIONES COLABORADORES CON ACCESO A DATOS

POLITICA DE SEGURIDAD DE LA INFORMACION INDEA INGENIERIA DE APLICACIONES S.L

Capitulo 2. Políticas, Planes y Procedimientos de seguridad.

Aviso Legal y Política de Privacidad, para incluir en la página Web

Durante el uso de nuestra página Web usted acepta y autoriza expresamente el uso de cookies, de acuerdo con nuestra Política de Privacidad.

Portal Agrupaciones JSPT

Todos los funcionarios y trabajadores de la Corporación Municipal de Quilpué

NORMAS DE ACCESO A INTERNET

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014 (130 horas)

MANUAL de USUARIO. Página 1

AVISO LEGAL, POLITICA DE PRIVACIDAD Y PROTECCION DE DATOS

Técnico en Sistema de Gestión de Seguridad de la Información ISO/IEC 27001:2014

AVISO LEGAL, POLITICA DE PRIVACIDAD Y PROTECCIÓN DE DATOS. Aviso Legal OBJETO

AVISO LEGAL, POLITICA DE PRIVACIDAD Y PROTECCION DE DATOS

POLITICAS PARA EL USO DEL SERVICIO DEL CORREO ELECTRÓNICO INSTITUCIONAL DEL GEM

Instructivo de conexión remota. Clientes y proveedores

TEST IGUALDAD Y VIOLENCIA DE GÉNERO. SEGURIDAD EN LA INFORMACIÓN (LOPD). PREVENCIÓN DE BLANQUEO DE CAPITALES. COMPROMISO ÉTICO Y TRANSPARENCIA.

POLÍTICAS Y PROCEDIMIENTOS DE SEGURIDAD DE LA INFORMACIÓN ARROCERA BOLUGA LTDA.

AVISO LEGAL, POLITICA DE PRIVACIDAD Y PROTECCION DE DATOS

INSTRUCTIVO DE MANEJO Y SEGURIDAD DE LA DOCUMENTACIÓN ELECTRÓNICA OI-IN

Políticas de Seguridad Para los Sistemas de Aprendizaje en Línea y de Gestión Educativa

IT Services - Universidad de Navarra

2. Condiciones generales de acceso y utilización

AVISO LEGAL, POLITICA DE PRIVACIDAD Y PROTECCION DE DATOS

Aviso legal. Legislación

REGLAMENTO PARA ASISTENCIA REMOTA A USUARIOS

Jason Industries, Inc. Corporate Policy Título: Política de Uso Aceptable de los Recursos Electrónicos Numero de póliza: 301

Normas de Seguridad. Normativa de uso de portátiles corporativos

Seguridad de Acceso a Internet y Red Inalámbrica (Wi-Fi) del Grupo LATAM Airlines Norma

Servicio de Informática Vicerrectorado de Tecnologías de la Información y la Comunicación

Reglamento Condiciones de uso del

P2-2-3 ACCESO A LA DOCUMENTACIÓN Y CLÁUSULA DE CONFIDENCIALIDAD (COMISIONES DE CALIDAD)

Última modificación: febrero de Directiva de seguridad TI para proveedores de servicios externos

Aviso Legal, Política de Privacidad y Protección de Datos, para incluir en las páginas Web.

CÓDIGO DE BUENAS PRÁCTICAS BANCARIAS PARA LA PROTECCIÓN DE LOS SERVICIOS ELECTRÓNICOS

SEGURIDAD EN EL TRASLADO DE EXPEDIENTES MANUALES

MANUAL DE POLÍTICAS WEB. Fecha: diciembre de /14

Utilización de la Tecnología Por Parte De Los Estudiantes POLÍTICA DE USO ACEPTABLE DE RECURSOS TECNOLÓGICOS DEL DISTRITO PARA ESTUDIANTES

CÓDIGO DE BUENAS PRÁCTICAS EN EL USO DE LOS SISTEMAS DE INFORMACIÓN Y EL TRATAMIENTO DE LOS DATOS DE CARÁCTER PERSONAL DEL SSIB

Perito Judicial en Análisis y Auditoría Pericial de los Sistemas de Seguridad de la Información ISO (330 horas)

Perito Judicial en Análisis y Auditoría Pericial de los Sistemas de Seguridad de la Información ISO (330 horas)

Condiciones del Servicio de Soporte Técnico

BOLETÍN OFICIAL DEL ESTADO

1. DATOS IDENTIFICATIVOS

Política de privacidad

Postgrado en Gestión y Auditoría de Sistemas de Seguridad de la Información ISO 27001:2014

CÓDIGO DE BUENAS PRÁCTICAS BANCARIAS PARA LA PROTECCIÓN DE LOS SERVICIOS ELECTRÓNICOS

Que el dominio a partir de ahora website está registrado a nombre de MISIONERAS DIVINO MAESTRO.

CONSIDERANDO PRIMERO:

Nota legal CONDICIONES DE UTILIZACIÓN PROTECCIÓN DE DATOS / POLÍTICA DE PRIVACIDAD

NORMAS DE BUEN USO DE HARDWARE Y SOFTWARE

Política de privacidad y cookies de la Editorial TALLER PALABRAS

ÍNDICE. Políticas de seguridad para la pyme: almacenamiento en dispositivos extraíbles Página 2 de 9

CÓDIGOS DE USUARIO, CONTRASEÑAS, DATOS Y SU PROTECCIÓN. Con respecto al uso de contraseñas se tendrán las siguientes consideraciones:

DOCUMENTO DE SEGURIDAD DEL FICHERO DE DATOS MÉDICOS

POLÍTICAS DE ACCESO A LA RED DE LA UNIVERSIDAD TECNOLÓGICA DEL CENTRO

1. DATOS IDENTIFICATIVOS 2. USUARIOS 3. USO DEL PORTAL

POLITICA DE USO Y MANEJO DE INFORMACION CONFIDENCIAL

Ayuntamiento de Valladolid

CAPÍTULO I) ÁMBITO DE APLICACIÓN Y ALCANCE

COLEGIO ALBANIA CAMPAMENTO MUSHAISA FUNDACION EDUCATIVA CERREJON, GUAJIRA

Información legal y condiciones de uso

Requisitos para utilizar Coblin-Web en los distintos canales de cobro

AVISO LEGAL Denominación Social: Clínica dental Florencio de la Peña. Domicilio Social: Calle María de Molina 56, piso 205, Madrid

REGLAMENTO DEL SEMINARIO DE INFORMÁTICA

Al inscribirse o usar la página web, muestra su conformidad con esta declaración.

CUADRO RESUMEN MEDIDAS DE SEGURIDAD

DEPARTAMENTO DE INFORMÁTICA Y TECNOLOGÍA EDUCATIVA DIyTE Reglamento de Aulas de Informática

AVISO LEGAL, POLITICA DE PRIVACIDAD Y PROTECCION DE DATOS

1.2. Asimismo el nombre de dominio titularidad de SUMINISTROS INDAGRO S.L. es indagro.es.

ANEXO 4: CONTROLES DE LOS ESTÁNDARES ISO/IEC 17799, SECCIONES 5 A 15

CONDICIONES DE UTILIZACIÓN

Transcripción:

.

OBJETO Y ALCANCE Cuál es el objeto del Código de buenas prácticas? El objeto del Código de buenas prácticas es establecer las directrices y las recomendaciones en el uso de los sistemas de información a fin de optimizar el uso de los recursos disponibles y mantener la seguridad, la confidencialidad, la disponibilidad y la integridad de los datos de carácter personal, todo ello sin perjuicio de cumplir la normativa vigente Quién debe aplicar el Código de buenas prácticas? Todos los usuarios tanto los empleados públicos como los adscritos a empresas externas que tengan acceso a los sistemas de información del Servicio de Salud de las Islas Baleares y/o a los datos que figuren bajo la titularidad de este tienen que conocer y aplicar los requisitos y las instrucciones de este Código de buenas prácticas. Sobre qué recursos debe aplicarse el Código de buenas prácticas? El Código es aplicable a todos los recursos equipamiento físico, equipamiento lógico, servicios e información usados por los usuarios para desempeñar sus funciones. Cuándo termina el compromiso de confidencialidad suscrito con el Servicio de Salud? Nunca. El personal que haya podido tener acceso a datos de carácter personal al desempeñar su trabajo debe guardar estrictamente el secreto profesional por tiempo indefinido, incluso después de que se extinga su relación con el Servicio de Salud. Dónde se puede encontrar más información sobre el Código de buenas prácticas? La versión íntegra del Código de buenas prácticas se pondrá a disposición de todo el personal del Servicio de Salud por medio de su sede electrónica <www.ibsalut.es> y en la intranet Corporativa. En la sección de profesionales de la sede electrónica, se puede acceder al curso interactivo sobre el Código de buenas prácticas. CONFIDENCIALIDAD DE LA INFORMACIÓN Se puede comunicar, divulgar, poner en conocimiento o al alcance de terceras personas, la información propia, confiada o tratada por el Servicio de Salud? No. Todo el personal del Servicio de Salud y el personal ajeno que, por razón de su actividad profesional, haya tenido acceso a información gestionada por el Servicio de Salud (datos personales, documentos, metodologías, claves, análisis, programas ) debe mantener una absoluta reserva sobre ella durante tiempo indefinido En qué consisten los principios del mínimo privilegio posible y de la necesidad de conocer? Los usuarios solo pueden acceder a la información para la cual tengan la autorización debida y explícita dependiendo de las funciones que desempeñen, de tal manera que en ningún caso pueden tener acceso a información que pertenezca a otros usuarios o grupos de usuarios para el cual no tengan autorización. PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Qué medidas de seguridad hay que tener en cuenta para usar los sistemas de información y en el tratamiento de datos de carácter personal? Como regla general, los profesionales deben seguir las pautas siguientes: Conocer los principios de la Ley orgánica de protección de datos de carácter personal. Garantizar en cualquier caso la confidencialidad de los datos a los que tengan acceso. Guardar estrictamente el secreto profesional.

Evitar dejar información confidencial desatendida (memoria USB sin cifrar o sin guardar, equipos sin bloquear ). No acceder a los datos por medios distintos a los proporcionados por el Servicio de Salud. Qué medidas de seguridad hay que aplicar para el tratamiento de documentación en papel que contenga datos de carácter personal? Destruir de manera segura la documentación confidencial. Evitar generar documentación impresa. Evitar que la documentación confidencial impresa en papel quede al alcance de personas no autorizadas (en impresoras, faxes, puestos de trabajo ). Guardar la documentación confidencial en cajones o armarios cerrados con llave. Evitar generar ficheros temporales USO DE LOS RECURSOS Se pueden utilizar los recursos informáticos para uso personal? Como norma general, no. Solo deben usarse para las labores propias del personal de acuerdo con las funciones que tiene asignadas. Cuáles son las prácticas que hay que evitar para no comprometer las medidas de seguridad establecidas por el Servicio de Salud? No deben usarse programas ni equipos informáticos que no sean los estándares del Servicio de Salud. No debe modificarse la configuración establecida. No deben sacarse equipos de los locales excepto cuando esté autorizado previamente. No deben destruirse, alterarse o inutilizarse los recursos informáticos, los programas, los datos, los soportes ni los documentos. No debe intentarse descifrar las claves. No deben modificarse o desactivarse los mecanismos de seguridad implantados. Se puede descargar música, películas y juegos en los equipos del Servicio de Salud? No. Las unidades ofimáticas no deben utilizarse para fines privados, ya que constituyen una herramienta de trabajo y tienen capacidad limitada. Se pueden instalar programas en el equipo? No deben hacerse conexiones a redes o sistemas externos a través de otros medios que no sean los definidos y administrados por el personal competente. No deben extraerse o utilizarse información confidencial o datos de carácter personal en entornos que no estén protegidos o configurados adecuadamente. No deben trasladarse fuera de las instalaciones habituales de trabajo ningún dato o información alguna sin la autorización correspondiente. No, excepto con la autorización expresa del responsable del servicio y del Servicio de Informática. Se pueden conectar en la red informática de comunicaciones corporativa dispositivos móviles personales? No, salvo que se disponga de la autorización previa correspondiente, ya que pueden ser sometidos a actividades de prevención y control por el Servicio de Salud.

Está permitido transmitir o alojar en la nube o servidores externos información protegida del Servicio de Salud? No está permitido transmitir o alojar información sensible, confidencial, datos de carácter personal o información protegida propia del Servicio de Salud en servidores externos o soluciones de almacenamiento en la nube. Hay que adoptar todas las precauciones posibles al ejecutar cualquier programa. Debe evitarse ejecutar archivos adjuntos recibidos por correo electrónico y visitar páginas de Internet de contenidos de dudosa legalidad o moralidad. Con carácter previo al uso de estos recursos externos, la Subdirección de la OTIC debe establecer las características del servicio prestado y las responsabilidades de las partes. Qué medidas se pueden tomar para evitar los virus y otros programas informáticos maliciosos? Ante la sospecha de una infección por virus, debe comunicarse la incidencia de acuerdo con el procedimiento correspondiente. No debe accederse a la información que no sea necesaria para desempeñar las funciones atribuidas. MEDIDAS DE SEGURIDAD Cuáles son las principales medidas de seguridad de acceso físico? Las pantallas especialmente las que estén en zonas con acceso del público en general deben orientarse de tal manera que se impida al personal no autorizado el ángulo de visión tanto como sea posible. Nunca debe mantenerse información a la vista de otras personas sin que la persona que la tiene a su cargo lo controle debidamente. Si va a ausentarse, hay que tomar medidas para evitar que se pueda acceder a la información: por ejemplo, bloquear la sesión del ordenador, guardar las historias clínicas bajo llave, recoger de las impresoras los documentos en el mismo momento en el que se imprimen. Cuáles son las principales medidas de seguridad de acceso lógico? La información que contenga datos de carácter personal o sea confidencial, independientemente del formato en que esté (dispositivos de almacenamiento, archivadores, pantallas ), debe ser custodiada siempre por el profesional que la tenga a su cargo, para evitar que personas no autorizadas accedan a ella. Tanto el identificador de usuario o las tarjetas criptográficas como su contraseña correspondiente son confidenciales, personales e intransferibles. Por tanto, es responsabilidad del titular el uso que haga de ellos.

convenientemente por el usuario antes de abandonar su puesto de trabajo. En ningún caso deben mantenerse las contraseñas en archivos digitales, escritas en papel o en cualquier otro tipo de soporte de forma legible o accesible. En ninguna circunstancia puede utilizarse una sesión abierta bajo otra identidad. En qué consiste la política de bloqueo y puestos de trabajo despejados? Los puestos de trabajo deben estar despejados, sin más material encima de la mesa que el que se requiera para la actividad que se haga en cada momento. Si un usuario sospecha que su contraseña ha sido conocida fortuita o fraudulentamente por personas no autorizadas, debe modificarla y notificar inmediatamente la incidencia al servicio de soporte correspondiente. El material de trabajo debe guardarse en un lugar cerrado (en un cajón o un armario bajo llave) o en un cuarto separado cerrado con llave, al menos fuera del horario de trabajo. A la hora de crear una contraseña hay que procurar que no sea fácilmente adivinable por otras personas. Todos los terminales, ordenadores personales y dispositivos móviles deben ser bloqueados USO DE INTERNET Y CORREO ELECTRÓNICO Está permitido conectarse con redes externas al Servicio de Salud? No está permitido utilizar otros medios de conexión con redes externas sin la autorización correspondiente. Se pueden enviar datos de carácter personal por correo electrónico? Todo usuario debe evitar el envío por correo electrónico de datos de carácter personal. En cualquier caso, solo se podrán transmitir utilizando mecanismos que garanticen la integridad de los datos y con la autorización correspondiente. Es necesaria la autorización para habilitar conexiones remotas? Cualquier conexión remota que se tenga que habilitar a solicitud de un usuario interno o de un proveedor externo debe tener la autorización previa del responsable correspondiente. Se puede utilizar el navegador o el correo electrónico para uso personal? No. Como cualquier otro recurso, el navegador o el correo electrónico se pueden utilizar para uso personal solamente si el usuario está autorizado para ello. Qué se entiende por correo electrónico profesional? El correo electrónico profesional es un medio de comunicación interpersonal, no un medio de difusión masiva e indiscriminada de información. Se puede acceder al correo dirigido a otros usuarios? Está expresamente prohibido leer, borrar, copiar o modificar mensajes de correo electrónico o archivos dirigidos a otros usuarios. Qué acciones se consideran como un uso incorrecto de Internet? El acceso a sitios de Internet y la distribución de mensajes con contenidos en que se incite o se promueva la pornografía y la segregación racial, sexual o religiosa, o con contenidos de violencia. La descarga y la transmisión indiscriminada de imágenes, sonido y vídeo. La distribución de virus, troyanos y cualquier actividad encaminada a acceder ilícitamente a otros sistemas de información.

La piratería de cualquier material multimedia con derechos de la propiedad intelectual. persona interesada y únicamente para los fines solicitados por esta. El acceso a chats y a juegos en Internet. La publicación en Internet de información relacionada con el Servicio de Salud, salvo en los casos en que se obtenga autorización expresa para ello. Por motivos de seguridad y de rendimiento de la red del Servicio de Salud, los servicios informáticos pueden monitorizar y limitar el uso de Internet. En ningún caso deben usarse las direcciones incluidas en la agenda corporativa con fines particulares. Cómo debe usarse la información de las agendas corporativas? El uso de las agendas debe ser exclusivamente el correspondiente a los contactos requeridos con la El sistema que proporciona el servicio de correo electrónico puede de manera automatizada, rechazar, bloquear o eliminar parte del contenido de los mensajes enviados o recibidos en los que se detecte algún problema de seguridad o de incumplimiento del Código de buenas prácticas. INCIDENCIAS DE SEGURIDAD En qué circunstancias deben comunicarse incidencias en la seguridad? A juicio de cada usuario, cualquier incidente que pueda tener impacto en la seguridad y todos los detalles observados que le hayan inducido a sospechar, por ejemplo: si observa que en el ordenador se producen acciones extrañas (aumento del tamaño de los ficheros, aparición de avisos de Windows no habituales, recepción de correos de personas desconocidas o en idiomas no usados habitualmente, pérdidas de datos o programas, etc.). A quién deben notificarse las incidencias en la seguridad? Al servicio de soporte correspondiente, al cual debe prestarse la colaboración necesaria para resolver la incidencia. La omisión o el retraso en la notificación de un incidente en la seguridad pueden llegar a constituir una falta y, por tanto, dar lugar a la responsabilidad disciplinaria que corresponda. Y si se detecta una deficiencia en una aplicación? Debido a la naturaleza dinámica y cambiante de los requisitos que han de satisfacer, las aplicaciones informáticas deben mantenerse siempre actualizadas. Para ello es imprescindible la colaboración de todos los usuarios y por eso les animamos a comunicar cualquier deficiencia que detecten o las mejoras que consideren adecuadas. MONITORIZACIÓN Y APLICACIÓN DEL CÓDIGO Por motivos legales, de seguridad y de calidad del servicio, el Servicio de Salud llevará a cabo las acciones siguientes: Revisará periódicamente el estado de los equipos, las aplicaciones instaladas, los dispositivos y las redes de comunicaciones que sean responsabilidad suya. Auditará la seguridad de las credenciales y de las aplicaciones. Monitorizará los servicios de Internet y de correo electrónico y otras herramientas de colaboración. Los sistemas en los que se detecte un uso inadecuado o que no se cumplen los requisitos mínimos de seguridad pueden ser bloqueados o suspendidos temporalmente. Monitorizará los accesos a la información contenida en sus sistemas.

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback