1.    Objeto y ámbito de aplicación

Es objeto del presente documento, proponer el establecimiento de medidas organizativas legales y técnicas dirigidas a velar por el cumplimiento de los requerimientos y obligaciones, recogidos en la siguiente normativa que le resulta aplicable, una vez analizado el grado de adecuación a la misma.

·           Reglamento General de Protección de Datos, en adelante RGPD.

·           Ley Orgánica de Protección de Datos y garantía de derechos digitales, en adelante LOPDGDD.

·           Ley de Servicios de Sociedad de la Información y Comercio Electrónico, en adelante LSSICE.

1.    Gestión de clientes de comercio electrónico y donantes

 

1.1.            Clausula para insertar en Facturas

A continuación, se facilita la cláusula que deberá ser incorporada en las facturas. 

Responsable del tratamiento: THE BIG RESET MOVIE Finalidad: gestión comercial, facturación y de cobro. Puede ejercer los derechos de Acceso, Rectificación, Supresión, Oposición, Limitación y Portabilidad si corresponde en hola@thebigresetmovie.com Para más información, consulte nuestra Política de Privacidad en www.thebigresetmovie.com   

1.2.            Cláusula comprobante de donaciones

A continuación, se facilita la cláusula que deberá ser incorporada en las facturas. 

Responsable del tratamiento: THE BIG RESET MOVIE Finalidad: gestión de donaciones y su correspondiente tramitación fiscal. Puede ejercer los derechos de Acceso, Rectificación, Supresión, Oposición, Limitación y Portabilidad si corresponde en hola@thebigresetmovie.com Para más información, consulte nuestra Política de Privacidad en www.thebigresetmovie.com  

 

2.    Gestión General 

2.1.            Cláusula para firma de correo electrónico

A continuación, se facilita la cláusula que deberá ser incorporada como firma predeterminada en cada una de las cuentas corporativas de la entidad.

La información y datos personales que nos facilite serán tratados por THE BIG RESET MOVIE con el fin de gestionar su solicitud y/o para el mantenimiento de la relación. Derechos: Puede ejercer los derechos de Acceso, Rectificación, Supresión, Oposición, Limitación y Portabilidad si corresponde en hola@thebigresetmovie.com Para más información, consulte nuestra Política de Privacidad en www.thebigresetmovie.com  

 

1.    Objeto y ámbito de aplicación

La normativa vigente en materia de Protección de Datos, es decir, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en cuanto al tratamiento y la libre circulación de datos personales, en adelante RGPD, establece la obligación a todos los responsables de tratamiento de realizar una valoración del riesgo que los tratamientos que realicen puedan afectar negativamente a los derechos y libertades de los interesados. Este análisis se establece con el objetivo de determinar las medidas que deban aplicarse y como deben implementarse.

En este sentido, el RGPD en su artículo 25, establece que el responsable del tratamiento, teniendo en cuenta la naturaleza, el ámbito, los fines del tratamiento y los riesgos para los derechos y libertades de las personas físicas, deberá aplicar las medidas técnicas y organizativas apropiadas con el fin de garantizar y poder demostrar que el tratamiento es conforme al RGPD.

Por su parte, el artículo 32 del citado RGPD, establece que, tanto el Responsable del Tratamiento como el Encargado del tratamiento, teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, alcance, contexto y los  fines del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, deberán aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.

Por ello, elaborado el análisis de riesgos se determinarán las diferentes medidas de índole técnico y organizativo que se deba implementar, las cuales vienen recogidas y desarrolladas en el presente Documento de Seguridad.

En este sentido, en el presente documento se definen las normas y demás consideraciones necesarias para la correcta gestión de los sistemas de información de La Entidad destinados al tratamiento de datos de carácter personal, y para ello ha sido autorizado y aprobado.

 

2.    Definiciones

En este apartado del Documento del Seguridad se recogen las definiciones aplicables a los diferentes conceptos contemplados en el ámbito de la Protección de Datos

CONCEPTO

DESCRIPCIÓN

Datos personales

Toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

Tratamiento

Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción

Limitación del tratamiento

El marcado de los datos de carácter personal conservados con el fin de limitar su tratamiento en el futuro

Elaboración de perfiles

Toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física

Seudonimización

El tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable

Fichero

Todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica

Responsable del tratamiento

La persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros

Encargado del tratamiento

La persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento

Destinatario

La persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero. No obstante, no se considerarán destinatarios las autoridades públicas que puedan recibir datos personales en el marco de una investigación concreta de conformidad con el Derecho de la Unión o de los Estados miembros; el tratamiento de tales datos por dichas autoridades públicas será conforme con las normas en materia de Protección de Datos aplicables a los fines del tratamiento

Tercero

Persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del responsable del tratamiento, del Encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado

Consentimiento del interesado

Toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen

Violación de la seguridad de los datos personales

Toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos

Datos genéticos

Datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona

Datos biométricos

Datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos

Datos relativos a la salud

Datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud

Autoridad de Control

La autoridad pública independiente establecida por un Estado miembro

 

3.    Ámbito de aplicación

El ámbito de aplicación del presente documento abarca todos los ficheros y/o tratamientos de datos de carácter personal que ostenta The Big Reset Movie. 

La organización actúa únicamente en calidad de Responsable del Tratamiento, y en dicha calidad trata los siguientes ficheros:

Fichero o tratamiento

como responsable de tratamiento

Clientes comercio electrónico

Proveedores

Donantes

Usuarios web

4.    Ámbito Normativo

El presente Documento de Seguridad se rige, en primer lugar, por la vigente normativa europea, esto es, por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en cuanto al tratamiento y la libre circulación de datos personales, en definitiva, el Reglamento general de Protección de Datos, en adelante RGPD.

5.    Ámbito Institucional

Tal y como se hacía referencia en la introducción, la implementación de medidas de seguridad es requerida no solo a los Responsables del tratamiento sino también a los Encargados del tratamiento.

6.    Ámbito Personal

Cualquier persona que actúe bajo la autoridad de la Entidad y tenga acceso a datos de carácter personal de su titularidad. En este sentido, el presente documento es de obligado cumplimiento para todo el personal de la empresa, en adelante Usuarios, que presten servicios de cualquier índole o desarrolle sus labores profesionales en la empresa.

El informe funciones y obligaciones, es de obligado cumplimiento para los usuarios. Dicho documento ha sido puesto a disposición de los usuarios en el momento de la contratación, informando fehacientemente a cada usuario sobre sus funciones y obligaciones en materia de Protección de Datos.

7.    Ámbito Material

Las medidas de seguridad definidas y desarrolladas en este Documento de Seguridad se aplican al conjunto de recursos protegidos de la Entidad. En este sentido, se entiende por recurso protegido cualquier parte componente del sistema de información, esto es, los ficheros, programas, soportes y equipos empleados para el almacenamiento y tratamiento de los datos de carácter personal.

8.    Medidas de Seguridad

1.1.                   Marco Organizativo

Toda Entidad necesita establecer un marco organizativo que permita alcanzar sus objetivos, estableciendo las funciones y responsabilidades correspondientes al personal o a cada perfil de tratamiento. Esta medida garantiza el desarrollo diario de la actividad, así como la correcta gestión y solución de incidentes de cualquier tipo.

1.1.1.                       Documento de Seguridad

Se ha desarrollado el Documento de Seguridad en formato escrito, manteniéndolo actualizado en formato electrónico con posibilidad de impresión en cualquier momento.

El Documento de Seguridad ha sido aprobado por el órgano superior competente y ha sido comunicado a todos los usuarios de datos de carácter personal de manera pertinente, accesible y comprensible.

El Documento de Seguridad contiene todas aquellas medidas de seguridad que, en base a la naturaleza, el ámbito, el contexto y los fines de tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, debe implementar el responsable del tratamiento.

La Entidad ha designado un responsable o propietario encargado del mantenimiento y revisión del documento con carácter ordinario y extraordinario, en base a posibles modificaciones o actualizaciones relevantes que deban aplicarse.

1.1.2.                       Coordinación de la Seguridad

Con el objetivo de administrar correctamente la seguridad de la información dentro de la Entidad, se debe establece un marco gerencial para iniciar y controlar la implementación de la seguridad de la información.

En este sentido, se ha definido claramente las responsabilidades para la protección de cada una de las operaciones de tratamiento y la implementación de procesos específicos de seguridad.

A continuación, se identifican las diferentes figuras o perfiles de responsabilidad en materia de Protección de Datos, las cuales tienen asignadas determinadas funciones y obligaciones en la materia. La designación del personal vinculado a dichas figuras o perfiles viene recogida en el Anexo I del presente documento.

Responsable del tratamiento

Se considera responsable del tratamiento la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento.

Encargado del tratamiento

Se considera Encargado del tratamiento la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta de un responsable del tratamiento.

Responsable de seguridad

Se considera responsable de seguridad la persona encargada de coordinar y controlar las medidas de seguridad definidas en presente documento.

En ningún caso esta designación supone una exoneración de la responsabilidad que corresponde al responsable o Encargado del tratamiento.

Responsable de gestión de copias de seguridad

Se considera responsable de gestión de copias de seguridad, la persona encargada de llevar a cabo las copias de seguridad respecto de los ficheros o tratamientos de los que La Entidad es responsables o encargada del tratamiento.

Responsable de gestión de control de acceso lógico

Se considera responsable de la gestión del control de acceso lógico, la persona o personas designadas para, entre otras funciones, hacer efectivos los accesos autorizados a los usuarios, gestionar los sistemas de identificación y autenticación, conservar las contraseñas de forma ininteligible, en definitiva, de verificar el cumplimiento de la política de gestión de sistemas de identificación y autenticación.

Responsable de gestión de proyectos de formación y concienciación

Se considera responsable de la gestión de proyectos de formación y concienciación, la persona encargada de llevar la convocatoria, gestión y tramitación de las sesiones formativas y las acciones necesarias para la concienciación de los usuarios en la materia sobre Protección de Datos.

Responsable de gestión del archivo documental

Se considera responsable de la gestión del archivo documental, la persona encargada de la organización, custodia y clasificación del archivo documental.

1.1.3.                       Tercerización

1.1.3.1.       Encargados del tratamiento

En el supuesto de que se proceda a la contratación de Entidades cuyo servicio a prestar implica un acceso a los tratamientos o ficheros responsabilidad de alguna de las Entidades, se procede a la formalización de los contratos de acceso a datos por cuenta de terceros requeridos por el artículo 28 del RGPD. Esta figura de terceros contratados al efecto se conoce, en materia de Protección de Datos, como Encargado del tratamiento.

El contrato a formalizar con los encargados del tratamiento contempla los requerimientos de seguridad necesarios para mantener la seguridad de la información debido, precisamente, a que la responsabilidad por el procesamiento de la misma fue delegada a otra organización.

La Entidad tiene en cuenta todas las medidas o acciones pertinentes y necesarias para cerciorarse de que el Encargado del tratamiento seleccionado ofrece las garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme a los requisitos exigidos por el RGPD y garantiza la protección de los derechos del interesado.

El contrato a suscribir con los Encargados del tratamiento contiene, como mínimo, todo lo dispuesto en el artículo 28.3 del RGPD.

Toda la información relativa a los encargados del tratamiento que La Entidad tiene contratados para la prestación de determinados servicios viene recogida en el documento “Gestión de Proveedores”.

1.1.3.2.       La Entidad como Encargado del tratamiento

En el supuesto de que La Entidad sea contratada por otra para prestarle servicios que impliquen el tratamiento de datos responsabilidad de dicha Entidad, ostentará la condición de Encargada del tratamiento, de forma que, asimismo, se proceda a la formalización de los contratos de acceso a datos por cuenta de terceros requeridos por el artículo 28 del RGPD con las empresas clientes.

El contrato a suscribir con las empresas cliente contendrá, como mínimo, todo lo dispuesto en el artículo 28.3 del RGPD.

Toda la información relativa a las empresas cliente a las cuales la Entidad presta servicios que implican un acceso a datos debe venir recogida en el Informe Jurídico de la empresa.

1.1.4.                       Seguridad del personal

Se dispone de un registro del personal con acceso a datos de carácter personal, donde se identifica a los usuarios y perfiles de usuario con el acceso autorizado para cada uno de ellos.

Se establece un control de acceso a la información, de forma que cada usuario accede únicamente a aquellos datos que requiere para el ejercicio de sus funciones.

Se suscriben, además, Acuerdos de Confidencialidad con cada uno de los usuarios que accedan a datos de carácter personal con el objeto de garantizar la confidencialidad e integridad de la información.

Por otra parte, se tienen definidas claramente las funciones y obligaciones que en materia de seguridad de la información corresponde a cada usuario o perfil de usuario, así como las acciones que se emprenderán en caso de que un usuario haga caso omiso de tales requerimientos de seguridad.

Por último, se procede a realizar las acciones pertinentes de forma que todos los usuarios y perfiles de usuarios, reciban una adecuada y periódica capacitación y formación en materia de Protección de Datos de carácter personal. Esto comprende los requerimientos de seguridad de la información, las responsabilidades legales y los controles del negocio.

1.1.5.                       Gestión de derechos de los interesados

Se ha desarrollado un Protocolo de Atención a los Derechos de los Interesados, cuyo objeto es definir la gestión de los derechos que ostentan los interesados o titulares de los datos, en materia de Protección de Datos, concretamente los derechos de acceso, rectificación, supresión, oposición, limitación, portabilidad y olvido.

Dicho Protocolo ha sido puesto a disposición de los usuarios de forma que conozcan los trámites a seguir para el caso de que se reciba una petición de cualquiera de los derechos indicados en el párrafo anterior.

Por ello, todos los usuarios y responsables de departamento, así como cualquier persona que tenga relación con el almacenamiento, tratamiento y/o consulta de datos de carácter personal responsabilidad de alguna de las empresas, deben tener conocimiento del presente procedimiento para poder actuar en caso de recepción de una solicitud de ejercicio de derechos.

1.1.6.                       Gestión de violaciones de Seguridad

En el ámbito de Protección de Datos se deben distinguir dos conceptos fundamentales:

Incidente de Seguridad: Es “aquel suceso inesperado o no deseado con consecuencias en detrimento de la seguridad del sistema de información” (Real Decreto 3/2010 por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica).

Violación o Brecha de seguridad: Es “aquella que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos” (art. 4.2 RGPD).

En este sentido, de cara a garantizar la confidencialidad, disponibilidad e integridad de la información contenida en los tratamientos, se ha elaborado un procedimiento de gestión de incidencias y brechas de seguridad con vistas a prevenir el peligro que representan para la seguridad de la información en el que se hará constar:

o   Tipo de incidencia

o   Momento de su producción (fecha y hora)

o   Categoría y número aproximado de interesados afectados

o   Categoría y número aproximado de registros afectados

o   Consecuencias de la violación de la seguridad

o   Medidas correctoras adoptadas o propuestas para poner remedio a la violación.

En este sentido, el referido registro viene recogido en el presente Documento de Seguridad.

Cuando se trate de una violación que constituya un riesgo para los derechos y las libertades de las personas físicas, se deberá proceder a comunicar la violación de seguridad producida, sin dilación indebida y, a ser posible, a más tardar 72 horas después de que se haya tenido constancia de ella, a la Autoridad de Control competente, teniendo en cuenta el contenido indicado en el párrafo anterior.

Por otra parte, cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, se deberá comunicar al interesado afectado sin dilación indebida. La presente comunicación no será necesaria si se cumple alguna de las siguientes condiciones:

a)       Se ha adoptado medidas de protección técnicas y organizativas apropiadas a los datos de carácter personal, en particular aquellas que hagan ininteligibles los datos para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado de la información.

b)      Se ha tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado.

c)       Suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados.

1.2.                   Marco Operacional

1.2.1.                       Análisis de riesgos

Con carácter previo al tratamiento de datos de carácter personal, se realiza un análisis de los riesgos que, cada tratamiento, pueda suponer para los derechos y libertades de los interesados, con el objeto de determinar las medidas de responsabilidad activa que deban implementarse.

Como consecuencia de dicho análisis, se elabora un informe específico donde se recogen las medidas que debe implementar la empresa en materia de Protección de Datos.

1.2.2.                       Registro de actividades de tratamiento

En cumplimiento de lo dispuesto en el artículo 30 del RGPD, la Entidad dispone de un registro actualizado de las actividades de tratamiento efectuadas bajo su responsabilidad y, en su caso, de las actividades de tratamiento que gestione en calidad de Encargado del tratamiento.

El citado registro de actividades del tratamiento es desarrollado teniendo en cuenta el contenido mínimo exigido por el citado artículo 30 del RGPD.

1.3.                   Marco Técnico

En el presente apartado se procede a definir y desarrollar las medidas de seguridad técnicas implantadas por la Entidad y apropiadas para garantizar un nivel adecuado al riesgo.

Medidas de seguridad, que en su caso incorporen o contemplen:

o   La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

o   La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso d incidente físico o técnico.

o   Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

1.3.1.                       Medidas de seguridad comunes

1.3.1.1.       Cifrado y seudonimización

Todas las medidas que se sugieren en el presente Documento son básicas y de carácter orientativo, ya que es el propio RGPD el que indica que las medidas de seguridad a adoptar deben ser las adecuadas a cada tratamiento. En este sentido, se debe considerar que el Documento de Medidas de Seguridad no es de carácter estático, sino que se debe adaptar a las necesidades según los tratamientos que se ejecuten, especialmente si dichos tratamientos se relacionan con datos especialmente protegidos (por ejemplo, biometría, vida sexual, afiliaciones políticas o sindicales, entre otros), o con colectivos de personas vulnerables.

Por todo lo anterior, es que el RGPD, a diferencia de lo que sí planteaba la legislación anterior, no ofrece un catálogo de medidas según el nivel de datos que se traten; deberá ser el Responsable del Tratamiento el que determine las medidas apropiadas.

Sin perjuicio de lo anterior, el artículo 32 del RGPD cita dos medidas de seguridad que se consideran básicas e imprescindibles y que se tendrían que adoptar en la medida en que fuese necesario. Estas medidas son:

–              La seudonimización

–              El cifrado de datos

En lo que respecta a la seudonimización, ésta se define como el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable. Un ejemplo de medidas de seudonimización sería, por ejemplo, la disociación mediante código, es decir, en lugar de tener disponible un listado de datos identificativos (por ejemplo, una base de datos con nombres y apellidos), se asigna a cada persona un código, de tal manera que sólo usuarios con autorización puedan asociar nuevamente el código con los datos personales.

En cuanto al cifrado, esta es una medida técnica ampliamente usada y que agrega un plus de seguridad a la información. Muchas herramientas consideran el cifrado dentro de sus posibilidades de gestión de la información.

1.3.1.2.       Control de accesos lógico

De entre las obligaciones del personal destaca el hecho de que se deben establecer procedimientos de control de acceso lógico, en el sentido de que únicamente el personal autorizado puede acceder a la información que requiera para el ejercicio de sus funciones dentro de la empresa.

En este sentido, se ha elaborado una relación actualizada de usuarios y/o perfiles de usuarios, y los accesos autorizados para cada uno de ellos, tal y como viene reflejado en el documento “Registro de usuarios con acceso a datos”.

Asimismo, la Entidad dispone de mecanismos para evitar que un usuario pueda acceder a recursos o información con derechos distintos de los autorizados. Estos mecanismos que, en el caso de soportes informáticos, pueden consistir en sistemas de autenticación como contraseñas, información biométrica, tarjetas inteligentes, etc., y en el caso de soportes manuales o en papel, dispositivos que dificulten su apertura como, maletines con llave, despachos con cierre de seguridad, salas de archivo documental protegidas con apertura mediante tarjeta inteligente, etc.

En el caso de que exista personal ajeno a la Entidad que tenga acceso a datos de carácter personal, éste estará sometido a las mismas condiciones y obligaciones de seguridad que el personal propio.

1.3.1.3.       Control de accesos físico

En relación al control de acceso físico, con el objeto de impedir accesos no autorizados, daños e interferencia a las sedes e información responsabilidad de la empresa, se establecen áreas seguras. En este sentido, se utilizan perímetros de seguridad para proteger las áreas en las que se llevan a cabo tratamientos de información. Un perímetro de seguridad es algo delimitado por una barrera, por ejemplo, puerta de acceso controlado por tarjeta inteligente o un simple sistema de cierre mediante llave.

A la hora de determinar las áreas seguras se tienen en consideración los siguientes controles:

a)      Las instalaciones clave se ubican en lugares en los cuales no puede acceder el público.

b)      El edificio donde se ubican las instalaciones es discreto y ofrece un señalamiento mínimo de su propósito, sin signos obvios, exteriores o interiores, que identifiquen la presencia de actividades de procesamiento de información.

c)      Las funciones y el equipamiento de soporte, como las fotocopiadoras, se encuentran adecuadamente ubicadas dentro del área protegida para evitar accesos no autorizados que pudiesen comprometer la información.

d)      Las puertas y ventanas se encuentran debidamente bloqueadas cuando no hay vigilancia.

e)      Con el fin de garantizar la correcta custodia de la documentación en papel, se dispone de un control de accesos físico que viene determinado:

– desde un control de acceso a determinadas áreas mediante autorización expresa

– desde una restricción física bajo llave custodiada por la Gerencia.

1.3.1.4.       Políticas de escritorios y pantallas limpias

Con el objetivo de impedir la exposición al riesgo o robo de la información por parte de personas no autorizadas, se adopta una política de escritorios limpios para proteger documentos en papel y dispositivos de almacenamiento removibles y una política de pantallas limpias en las instalaciones de procesamiento de la información durante el horario normal de trabajo y fuera del mismo.

1.3.1.5.       Tratamientos realizados fuera del ámbito de la organización

El tratamiento de datos de carácter personal fuera del ámbito de la organización es autorizado a nivel gerencial, en base al documento de autorización contemplado en el presente documento.

Se establece que la seguridad provista, en este tipo de supuestos, debe ser equivalente a la suministrada dentro del ámbito de la organización, para un propósito similar, teniendo en cuenta los riesgos de trabajar fuera de la misma. El equipamiento de procesamiento de la información incluye todo tipo de computadoras personales, organizadores, teléfonos móviles, papel u otros formularios, necesarios para el trabajo en el domiciliario o que es transportado fuera del lugar habitual de trabajo.

1.3.1.6.       Identificación de soportes y documentos

Los usuarios que traten o accedan a los soportes o documentos con datos de carácter personal son los encargados, en cada caso, de vigilar y controlar que personas no autorizadas no puedan acceder al soporte físico o documentos por ellos custodiados.

Los soportes y documentos deben encontrarse claramente identificados de forma que se clasifique el tipo de información que contienen y, en la medida de lo posible, deberán ser inventariados, de forma que se facilite la localización y consulta de la documentación.

1.3.1.7.       Baja y reutilización de soportes y documentos

Cuando un soporte o documento que contenga datos de carácter personal debe ser eliminado o dado de baja, se lleva a cabo dicho trámite de manera segura, dado que, si no se elimina cuidadosamente, la información puede filtrarse a personas ajenas a la empresa.

Por ello, se tienen establecidos procedimientos formales para la eliminación segura de los soportes y documentos a fin de minimizar este riesgo, por ejemplo:

a)       Todos los elementos del equipamiento que contengan dispositivos de almacenamiento, por ej. discos rígidos no removibles, deben ser controlados para asegurar que todos los datos y el software bajo licencia, han sido eliminados o sobrescritos antes de su baja.

b)      Los medios de almacenamiento, deben ser físicamente destruidos o sobrescritos en forma segura en vez de utilizar las funciones de borrado estándar, evitando, de esta manera, el acceso por personal no autorizado.

c)      Archivos guardados en el equipo: se utilizará el mismo programa de borrado seguro.

d)      Es importante recordar en los casos b) y c) que no es suficiente con mandar a papelera y vaciar. Debe utilizarse programa o utilidad de borrado seguro para evitar la recuperación de los archivos.

e)      Haciendo uso de mecanismos internos que permitan la destrucción o hacerlos trizas, como destructoras de soportes. Si la destructora de papel admite el tipo de soporte, deberán destruirse utilizando dichas máquinas.

f)        Si el soporte no puede ser destruido en la máquina destructora, deberá utilizarse un programa de borrado seguro, basado en algoritmos que sobrescriban los ficheros con datos aleatorios en múltiples pases.

g)      Contratación de terceros que ofrecen servicios de recolección y eliminación equipos, documentos y medios.  Se debe seleccionar cuidadosamente a un contratista apto con adecuados controles y experiencia.

En caso de desecho de soportes, tanto móviles (una memoria USB) como «fijos» (una CPU de un ordenador, deberá dejarse constancia documental, mediante acta, conforme a un modelo normalizado. Esta misma acta debe cumplimentarse cuando la eliminación de los archivos obedece al transcurso de los plazos de conservación.

1.3.1.8.       Ficheros temporales, copias y reproducciones

Los ficheros temporales o copias de documentos que se creen exclusivamente para la realización de trabajos temporales o auxiliares deben cumplir con los requisitos o estándares de seguridad que le corresponda al fichero o documento original.

Estos ficheros temporales o copias de trabajo son borrados o destruidos, de forma que se evite el acceso a la información contenida en los mismos o su recuperación posterior, una vez que han dejado de ser necesarios para los fines que motivaron su creación.

La generación de copias o la reproducción de documentos únicamente puede ser llevada a cabo por el personal autorizado en el Anexo I del presente documento, o bajo su exclusivo control.

1.3.1.9.       Responsable de seguridad

Se ha designado a uno o varios responsables de seguridad, encargados de coordinar y controlar las medidas de seguridad definidas en presente documento.

En ningún caso esta designación supone una exoneración de la responsabilidad que corresponde al responsable o Encargado del tratamiento.

El responsable de seguridad ha sido designado en el Anexo I del presente documento.

1.3.1.10.  Medidas comunes adicionales

Teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, alcance, el contexto, los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, es posible que se decida implementar medidas adicionales. En este sentido, las medidas adicionales vendrían identificadas en el Anexo VIII.

1.3.2.                       Medidas de seguridad automatizadas

1.3.2.1.       Suministros de energía

La Entidad establece que el equipamiento se encuentra protegido con respecto a las posibles fallas en el suministro de energía u otras anomalías eléctricas. La empresa cuenta con un adecuado suministro de energía que se encuentra conforme con las especificaciones del fabricante o proveedor de los equipos. Entre las alternativas para asegurar la continuidad del suministro de energía podemos enumerar las siguientes:

a)      múltiples bocas de suministro para evitar un único punto de falla en el suministro de energía

b)      sistema de alimentación ininterrumpida (SAI)

c)      generador de respaldo

En este sentido, La Entidad tiene en consideración los siguientes lineamientos de seguridad:

Ø  Se recomienda un SAI para asegurar el apagado regulado y sistemático o la ejecución continua del equipamiento que sustenta las operaciones de la organización. Los planes de contingencia deben contemplar las acciones que han de emprenderse ante una falla del SAI. Los equipos de SAI deben inspeccionarse periódicamente para asegurar que tienen la capacidad requerida y se deben probar de conformidad con las recomendaciones del fabricante o proveedor.

Ø  Se debe considerar el empleo de un generador de respaldo si el procesamiento ha de continuar en caso de una falla prolongada en el suministro de energía. De instalarse, los generadores deben ser probados periódicamente de acuerdo con las instrucciones del fabricante o proveedor. Se debe disponer de un adecuado suministro de combustible para garantizar que el generador pueda funcionar por un período prolongado.

Ø  Asimismo, los interruptores de emergencia deben ubicarse cerca de las salidas de emergencia de las salas donde se encuentra el equipamiento, a fin de facilitar un corte rápido de la energía en caso de producirse una situación crítica. Se debe proveer de iluminación de emergencia en caso de producirse una falla en el suministro principal de energía. Se debe implementar protección contra rayos en todos los edificios y se deben adaptar filtros de protección contra rayos en todas las líneas de comunicaciones externas.

En relación a este punto, se recogen las medidas necesarias para garantizar la disponibilidad de la información que la Entidad tiene implementadas.

1.3.2.2.       Seguridad del cableado

El cableado de energía eléctrica y de comunicaciones que transporta datos o brinda apoyo a los servicios de información es protegido contra interceptación o daño.  En este sentido, la Entidad tiene en consideración los siguientes controles:

a)       Las líneas de energía eléctrica y telecomunicaciones que se conectan con las instalaciones de procesamiento de información deben ser subterráneas, siempre que sea posible, o sujetas a una adecuada protección alternativa.

b)      El cableado de red debe estar protegido contra interceptación no autorizada o daño, por ejemplo, mediante el uso de conductos o evitando trayectos que atraviesen áreas públicas.

c)       Los cables de energía deben estar separados de los cables de comunicaciones para evitar interferencias.

d)      Entre los controles adicionales a considerar para los sistemas sensibles o críticos se encuentran los siguientes:

1. instalación de conductos blindados y recintos o cajas con cerradura en los puntos terminales y de inspección,

2. uso de rutas o medios de transmisión alternativos,

3. uso de cableado de fibra óptica,

4. iniciar barridos para eliminar dispositivos no autorizados conectados a los cables.

1.3.2.3.       Mantenimiento de equipos

El equipamiento se mantiene en forma adecuada para asegurar que su disponibilidad e integridad sean permanentes.  En este sentido, se consideran los siguientes lineamientos:

a) El equipamiento debe mantenerse de acuerdo con los intervalos servicio y especificaciones recomendados por el proveedor.

b)      Sólo el personal de mantenimiento autorizado puede brindar mantenimiento y llevar a cabo reparaciones en el equipamiento.

c)       Se deben mantener registros de todas las fallas supuestas o reales y de todo el mantenimiento preventivo y correctivo.

d)      Deben implementarse controles cuando se retiran equipos de la sede de la organización para su mantenimiento. Se debe cumplir con todos los requisitos impuestos por las pólizas de seguro.

1.3.2.4.       Protección contra software malicioso

Con el objetivo de proteger la integridad del software y la información la Entidad tiene implementados controles para prevenir y detectar la introducción de software malicioso y procedimientos adecuados de concienciación de usuarios.

En este sentido, se considera:

a)       Una política formal que requiera el uso de software con licencia y prohíba el uso de software no autorizada.

b)      Una política formal con el fin de proteger contra los riesgos relacionados con la obtención de archivos y software desde o a través de redes externas, o por cualquier otro medio, señalando qué medidas de protección deberían aplicarse.

c)       Instalación y actualización periódica de software de detección y reparación anti-virus, para examinar computadoras y medios informáticos, ya sea como medida precautoria o rutinaria.

d)      Realización de revisiones periódicas del contenido de software y datos de los sistemas que sustentan procesos críticos de la empresa.  La presencia de archivos no aprobados o modificaciones no autorizadas debe ser investigada formalmente.

e)      Verificación de la presencia de virus en archivos de medios electrónicos de origen incierto o no autorizado, o en archivos recibidos a través de redes no confiables, antes de su uso.

f)        Verificación de la presencia de software malicioso en archivos adjuntos a mensajes de correo electrónico y archivos descargados por Internet («downloads») antes de su uso. Esta verificación puede llevarse a cabo en diferentes lugares como, por ejemplo, en servidores de correo electrónico, computadoras de escritorio o al ingresar en la red de la organización.

g)       Procedimientos y responsabilidades gerenciales para administrar la protección contra virus en los sistemas, el entrenamiento con respecto a su uso, la comunicación y la recuperación frente a ataques.

h)      Adecuados planes de continuidad de los negocios para la recuperación respecto de ataques de virus, incluyendo todos los datos necesarios, el resguardo del software y las disposiciones para la recuperación.

i)        Procedimientos para verificar toda la información relativa a software malicioso, y garantizar que los boletines de alerta sean exactos e informativos. Se debe garantizar que se utilizan fuentes calificadas como, por ejemplo, publicaciones acreditadas, sitios de Internet o proveedores de software anti-virus confiables, para diferenciar entre virus falaces y reales.  Se debe concienciar al personal acerca del problema de los virus falsos (hoax) y de qué hacer al recibirlos.

Estos controles son especialmente importantes para servidores de archivos de red que brindan soporte a un gran número de estaciones de trabajo.

En relación a este punto, en el Anexo se recogen las medidas necesarias para garantizar la integridad y confidencialidad de la información que la Entidad tiene implementadas.

 

1.3.2.5.       Sistemas de identificación y autenticación a equipos

La Entidad dispone de un sistema de seguridad informática que permite identificar y autenticar correctamente a los usuarios de los sistemas de información, de forma que se garantiza que únicamente accederá a la información de la empresa el personal autorizado al efecto.

Asimismo, se establece un mecanismo que permite la identificación de forma inequívoca y personalizada de todo aquel usuario que intenta acceder al sistema de información y la verificación de que está autorizado.

La identificación es llevada a cabo a través de un sistema concreto y único para cada uno de los usuarios que acceden a la información (nombre de usuario, identificación de empleado, nombre del departamento, etc.).

Cuando el sistema de autenticación se basa en la existencia de contraseñas, se tiene establecido un procedimiento de asignación, distribución y almacenamiento de contraseñas que garantiza su confidencialidad e integridad.

Con el fin de garantizar la confidencialidad e integridad de las contraseñas, establece una política de autenticación observando, al menos, los siguientes lineamientos:

o   Utilizar contraseñas de al menos una determinada longitud, que contengan caracteres alfabéticos y numéricos, que no se repitan caracteres consecutivamente.

o   Evitar utilizar contraseñas de fácil conjetura (fechas significativas, números de teléfono, matrículas de coche, nombres de familiares o amigos, etc.).

o   No reutilizar contraseñas de servicios personales.

o   Activar un sistema de caducidad de contraseñas, mínimo cada 6 meses.

La política de identificación y autenticación definida y establecida, tanto a nivel de equipos o soportes como a nivel de herramientas o aplicaciones viene definida en el presente documento.

1.3.2.6.       Gestión de copias de respaldo y recuperación a equipos

Con el objetivo de mantener la integridad y disponibilidad de los servicios de procesamiento de la información y comunicación de la información, se realizan periódicamente copias de respaldo de la información y el software, de forma que éstos puedan recuperarse una vez ocurrido un desastre o falla de los dispositivos.

En este sentido, se tienen establecidos procedimientos de actuación para la realización como mínimo semanal de copias de respaldo, salvo que en dicho período no se hubiera producido ninguna actualización de los datos.

Asimismo, se establece procedimientos para la recuperación de los datos que garanticen en todo momento su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción.

Por otra parte, la empresa se encarga de verificar cada seis meses la correcta definición, funcionamiento y aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos.

Las pruebas anteriores a la implantación o modificación de los sistemas de información que traten datos de carácter personal no se realizan con datos reales, salvo que se asegure el nivel de seguridad necesario para el tratamiento. Si está previsto realizar pruebas con datos reales, previamente, se procede a realizar una copia de seguridad.

Los procedimientos de gestión de copias de respaldo y recuperación de datos definidos y establecidos tanto a nivel de equipos como a nivel de herramientas o aplicaciones vienen definidos en el presente documento.

1.3.2.7.       Movimiento de soportes

Con carácter general, se encuentra totalmente prohibido sacar soportes que contengan datos de carácter personal fuera de las instalaciones. Para la salida de soportes se requiere autorización expresa. Dichas autorizaciones vienen recogidas en el presente documento. No se requerirá la citada autorización en los siguientes supuestos.

Los usuarios del sistema a los que se asigna como herramienta de trabajo una cuenta de correo electrónico profesional, están autorizados para el envío de documentos que contienen datos de carácter personal, como adjuntos al correo.

Los usuarios del sistema a los que se asigna como herramienta de trabajo un ordenador portátil y/o tablet están autorizados para la salida de documentos fuera de las instalaciones en dicho soporte.

En los supuestos de traslado de soportes que contienen datos de carácter personal se toman las medidas necesarias dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte.

En este sentido, los envíos pueden realizarse alguno de los siguientes medios:

o   Uso de empresas de mensajería

o   Utilización de correo interno

o   Personal cuya función es el traslado (conductores, ordenanzas, etc.)

o   Correo certificado

1.3.2.8.       Redes de comunicaciones

Las medidas de seguridad tenidas en cuenta en relación a los accesos a datos de carácter personal a través de redes de comunicaciones, sean o no públicas, deben garantizar un nivel de seguridad equivalente al correspondiente a los accesos en modo local.

1.3.2.9.       Medidas automatizadas adicionales

Teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, alcance, el contexto, los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, es posible que se decida implementar medidas adicionales. En este sentido, las medidas adicionales vendrían identificadas en el presente documento. 

1.3.3.                       Medidas de seguridad no automatizadas

1.3.3.1.       Medidas

§  Los dispositivos de almacenamiento de los documentos que contengan datos de carácter personal disponen de mecanismos que obstaculicen su apertura. Se utilizan armarios con llave con acceso restringido.

§  Mientras la documentación con datos de carácter personal no se encuentre archivada en los armarios, por estar en proceso de revisión o tramitación, ya sea previo o posterior a su archivo, la persona que se encuentre al cargo de la misma deberá custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada.

§  Los armarios, archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de carácter personal deberán encontrarse en áreas en las que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Dichas áreas deberán permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero.

§  La generación de copias o la reproducción de los documentos únicamente podrá ser realizada bajo el control del personal autorizado. Deberá prestarse especial atención a fotocopias y documentos que contienen errores, por las altas posibilidades de extravío.

§  Deberá procederse a la destrucción de las copias o reproducciones desechadas de forma que se evite el acceso a la información contenida en las mismas o su recuperación posterior. Se recomienda encarecidamente la utilización de un dispositivo de destrucción de documentos.

§  El acceso a la documentación se limitará exclusivamente al personal autorizado.

§  Siempre que se proceda al traslado físico de la documentación contenida en un fichero, deberán adoptarse medidas dirigidas a impedir el acceso o manipulación de la información objeto de traslado.

1.3.3.2.       Medidas no automatizadas adicionales

Teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, alcance, el contexto, los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, es posible que se decida implementar medidas adicionales. En este sentido, las medidas adicionales vendrían identificadas en el presente documento. 

 

2.    Funciones y obligaciones del personal

Todas las personas que intervienen en el tratamiento, almacenamiento, consulta o cualquier otra actividad relacionada con el tratamiento de los datos de carácter personal y los sistemas de información de la empresa, deben actuar conforme a las funciones y obligaciones definidas y documentadas.

Se debe poner en conocimiento del personal de la empresa las medidas y normas de seguridad que afectan al desarrollo de sus funciones, así como las consecuencias en que pudieran incurrir en caso de incumplirlas, a través de cualquier modo de comunicación que garantice la recepción o conocimiento (intranet, correo electrónico, tablón de anuncios, etc.). Asimismo, debe poner a disposición del personal el presente Documento de Seguridad, de forma que puedan conocer la normativa de seguridad y las obligaciones que deben acatar en atención al perfil que ostentan.

La Entidad cumple con el deber de información indicado en el párrafo anterior mediante la inclusión de dichos extremos en los Acuerdos de Confidencialidad y deber de secreto que suscriben, en su caso, los usuarios de los sistemas de información identificados en el anexo correspondiente del presente documento, así como mediante la remisión de una circular informativa a los mismos.

Las funciones y obligaciones del personal vienen determinadas con carácter general por el tipo de actividad que desarrollan en cada empresa y con carácter específico por lo definido en el presente Documento de Seguridad, de modo que deben conocer y acatar su contenido en lo referente al fichero del que han sido considerados usuarios. En los anexos se halla incluida la relación de los usuarios que tienen acceso a los tratamientos de datos de carácter personal, así como los perfiles que acceden a los mismos.

Por otro lado, se desarrollan las funciones y obligaciones del personal con acceso a datos de carácter personal:

Ø  Responsable de seguridad: persona o personas a las que el responsable del tratamiento ha designado formalmente la función de coordinar y controlar las medidas de seguridad de índole técnicas. Dicha designación viene recogida en el Anexo I.

Ø  Usuarios: todas las personas, empleados y colaboradores, autorizados para acceder a los tratamientos con datos de carácter personal.

 

3.    Custodia y conocimiento del Documento de Seguridad

El presente Documento de Seguridad es confidencial y no podrá hacerse ningún tipo de copia sin previa autorización expresa y por escrito.

Este Documento de Seguridad es custodiado físicamente por el Responsable de Seguridad o, en su caso, por el Delegado de Protección de Datos, y la última versión está a disposición de todo el personal para que se puedan realizar cuantas consultas se deseen.

El presente Documento de Seguridad debe estar siempre actualizado, de tal forma que se corresponda en todo momento con la realidad existente.

Se procederá a la revisión y actualización del Documento de Seguridad siempre que se produzcan cambios relevantes en el sistema de información, en el sistema de tratamiento empleado, en su organización, en el contenido de la información incluida en los ficheros o tratamientos o, en su caso, como consecuencia de los controles periódicos realizados. Se entiende como cambio relevante cuando pueda repercutir en el cumplimiento de las medidas de seguridad implantadas.

El desconocimiento de lo dispuesto en el Documento de Seguridad no exime de su cumplimiento. Todo el personal está obligado al conocimiento y cumplimiento de lo dispuesto en él.

 

4.    Procedimientos de revisión

El documento deberá mantenerse en todo momento actualizado y deberá ser revisado siempre que se produzcan cambios relevantes en el sistema de información, en el contenido de la información incluida en los ficheros o como consecuencia de los controles periódicos realizados. En todo caso se entenderá como cambio relevante cuando pueda repercutir en el cumplimiento de las medidas de seguridad implantadas. Asimismo, deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.

5.    Disposición final

El presente documento ha sido aprobado por la Administración.

 

 

Anexo I: Definición de roles y responsabilidades

 

Responsable de Seguridad

WILMER ESTEBAN AGUILAR MENDOZA

 

Responsable de gestión de copias de seguridad

WILMER ESTEBAN AGUILAR MENDOZA

Responsable de gestión de control de acceso lógico

La persona o personas designadas para la gestión de control de accesos, es decir, las encargadas entre otras funciones de, hacer efectivos los accesos autorizados a los usuarios, gestionar los sistemas de identificación y autenticación, conservar las contraseñas de forma ininteligible, en definitiva, de verificar el cumplimiento de la política de gestión de sistemas de identificación y autenticación: WILMER ESTEBAN AGUILAR MENDOZA

Responsable de gestión de documentación en formato no automatizado

WILMER ESTEBAN AGUILAR MENDOZA

Anexo II: Gestión de copias de seguridad

Regularidad: semanal, gestionado por el proveedor del sistema.

 4. Objeto y ámbito de aplicación

El presente documento pretende ofrecer una lista actualizada de usuarios con acceso a datos y

a información de la empresa, junto con una relación de los activos con los que se cuenta para

el desarrollo de las tareas.

El carácter del documento es más bien consultivo y de referencia rápida; su finalidad principal

es tener presente que el listado de usuarios con acceso debe encontrarse actualizada al igual

que los activos.


Registro de usuarios, soportes y aplicaciones 4


5. Registro de usuarios con acceso


Perfil Ficheros a los que accede

Gerencia/administración Todos los ficheros


Características del acceso:

 Control de acceso a los dispositivos: Sistema de acceso mediante usuario y contraseña.

La contraseña se bloquea a los tres intentos. Los datos se cambian cada seis meses.

 Principio de mínimo privilegio. Permisos de acceso. El usuario accede de acuerdo a las

necesidades derivadas de sus funciones.


6. Roles y responsabilidades

Responsable de Seguridad

Gerencia/administración

Responsable de gestión de copias de seguridad

Gerencia/administración

Responsable de gestión de control de acceso lógico

Gerencia/administración

Responsable de gestión de documentación en formato no automatizado (papel)

Gerencia/administración


7. Inventario de soportes, servidores y aplicaciones

Dispositivos


Tipo de dispositivo Número

Ordenadores 6

Teléfono empresa 1


Registro de usuarios, soportes y aplicaciones 5


Servidores

Alojamiento externo. La información se aloja en IONOS Cloud S.L.U.


Aplicaciones

No se cuenta con aplicaciones