NEXT CONSULTANS ORGANIZACIÓN Y SISTEMAS, S.L. (en adelante NEXT) ha desarrollado el presente Documento de Seguridad de obligado cumplimiento para así proceder a la adopción y establecimiento de todas aquellas medidas técnicas y organizativas necesarias para garantizar la seguridad que deben reunir los ficheros automatizados, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento automatizado de datos de carácter personal así como para evitar la alteración, pérdida, tratamiento o acceso no autorizado a los precitados datos de carácter personal, todo ello de conformidad con lo establecido en la Ley Orgánica 15/1999, de 13 de diciembre y el Real Decreto 994/1999 de 11 de junio por el que se aprueba el Reglamento de Medidas de Seguridad de los Ficheros Automatizados que contengan Datos de Carácter Personal. Asimismo, el contenido del Documento de Seguridad permanecerá a disposición de la Agencia de Protección de Datos para su examen, en caso de que ésta requiriese de su aportación.
Así pues, el objeto de este Documento de Seguridad es la protección de los datos de carácter personal durante todo su ciclo, desde su creación o recepción hasta su procesamiento, comunicación, transporte, almacenamiento, cesión a terceros y cancelación.
El Real Decreto 994/1999 de 11 de junio clasifica las medidas de seguridad exigibles en tres niveles: básico, medio y alto, ello en función de la naturaleza de la información tratada y de la sensibilidad de la información contenida y tratada en los ficheros.
El presente Documento de Seguridad dispondrá del alcance necesario y suficiente como para cumplir con los requisitos del fichero de Nivel Medio exigidos por el Real Decreto 994/1999.
Será de obligado cumplimiento para todo el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información de:
Ámbito de aplicación material de las medidas de seguridad descritas en el presente documento recaerá sobre todos los recursos integrantes del Fichero CV TOOLS, ubicada físicamente en las instalaciones de COMUNITEL, S.A. sitas en ____ y en el que se recogen siguientes datos de carácter personal facilitados por el propio interesado obtenidos por medio de un soporte telemático:
En aras a poder cumplir con los objetivos expuestos en el presente Documento de Seguridad, dicho documento habrá de estar siempre actualizado y deberá ser revisado siempre que se produzcan cambios relevantes en el sistema de información o en la organización del mismo, adecuándose en todo momento a las disposiciones legales vigentes en materia de seguridad de los datos de carácter personal, y notificándose a los usuarios de los sistemas de información de los cambios acaecidos para así contribuir al correcto desempeño de sus respectivas funciones, debiendo el Responsable de Fichero proteger adecuadamente la información de conformidad con las clasificaciones y normas contempladas en el Real Decreto que desarrollo la Ley 15/1999.
Para que el Documento de Seguridad se halle debidamente actualizado se desglosa a continuación las funciones a realizar por el Responsable de Seguridad que deberá conocer las siguientes menciones y disposiciones:
La información constituye uno de los activos más valiosos para el desarrollo de la actividad negocial de NEXT así como para las personas y Sociedades que dependen de sus prestaciones. Es por ello por lo que NEXT reconoce que la necesidad de someter la información de la que disponga o pueda disponer a las adecuadas Medidas de Seguridad para que esta información no esté afectada por ninguna amenaza o contingencia.
Por la presente, NEXT reconoce su responsabilidad en desarrollar las correspondientes directrices de seguridad a los efectos de reducir y minimizar los riesgos potenciales consecuencia del desarrollo y consecución del objetivo negocial de la entidad.
La Política de Seguridad de los Sistemas de Información de NEXT tiene como finalidad la definición de las pautas conducentes a la formulación de los procedimientos de seguridad de los Sistemas de Información. De conformidad con lo anterior, dicha Política de Seguridad se fundamenta en los siguientes principios ideados para salvaguardar la información de NEXT.
La Política de Seguridad de los Sistemas de Información será aplicable y extensible a la dirección y a todos los empleados de NEXT (ya sean contratados como empleados indefinidos, temporales o de Empresas de Trabajo Temporal) o a cualquier persona ajena a NEXT que tengan acceso a los datos gestionados o propiedad de dicha mercantil. La Política de Seguridad de los Sistemas de Información también será aplicable a toda la información contenida en soporte digital y a los Sistemas de Información gestionados o propiedad de NEXT.
El plan de divulgación de las medidas, normas, procedimientos, reglas y estándares de seguridad contemplados en el presente Documento de Seguridad establece la responsabilidad de la Dirección de NEXT de garantizar la correcta divulgación y del cumplimiento de las estipulaciones en él contenidas mediante la comunicación de la existencia del presente Documento de Seguridad a todos los presentes y futuros empleados que tendrán acceso a los Sistemas de Información y que podrán gestionar los datos que éstos contengan así como las funciones y obligaciones que como usuarios han de llevar a cabo. Siguiendo esta misma línea, la Dirección de NEXT debería asimismo destacar la importancia de su conocimiento y de su cumplimiento a los efectos de garantizar la protección y la seguridad de los datos de carácter personal propiedad y gestionados por NEXT.
A tales efectos al Responsable de Seguridad se le encomiendan las siguientes funciones:
En este procedimiento se determinan las normas para el acceso a los datos y a los recursos informáticos disponibles.
Responsables: El responsable de este Procedimiento de Control de Acceso es el propio Responsable de Fichero, o la persona en quien éste haya delegado. El Responsable de Fichero establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que efectivamente está autorizado. Asimismo, deberá limitar la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información.
Todo usuario ha de acceder al sistema mediante un código de usuario y una contraseña que le identifique de forma inequívoca.
El sistema tendrá la siguiente información de usuarios:
El responsable de dar de alta y de baja a los usuarios, será el Responsable de Seguridad.
Exclusivamente el personal autorizado en el presente Documento de Seguridad podrá tener acceso a los locales donde estén ubicados los Sistemas de Información e instalaciones que contengan datos de carácter personal.
El Centro de Procesamiento de Datos estará ubicado dentro de las instalaciones de NEXT o bien dentro de las instalaciones de la entidad con la que NEXT estime oportuno contratar la prestación de servicios de hosting u otros servicios de almacenamiento o tratamiento de datos en locales específicamente acondicionados y de conformidad con las condiciones por la presente establecidas.
A tales efectos, los locales han de estar debidamente protegidos y cerrados de tal manera que, una vez se acceda a las instalaciones, para entrar en la sala donde se hallen ubicados los equipos informáticos se tendrá que introducir una llave que es custodiada por el Servicio de Seguridad permanente 24 H, sito en una sala contigua al CPD.
Las instalaciones que cobijen a la sala deberán disponer, entre otras, de las siguientes medidas de seguridad ambientales para mantener la integridad de los datos:
El Responsable del Centro de Procesamiento de Datos deberá mantener un registro de los usuarios con acceso al mismo al ser el encargado de autorizar las altas y las bajas de usuarios de la lista, siguiendo un procedimiento formalizado.
El personal con acceso a la sala de ordenadores son todos aquellos trabajadores y miembros de la dirección debidamente autorizados por NEXT, así como todo aquel personal expresamente autorizado perteneciente a la entidad prestataria de servicios de hosting u otros servicios de almacenamiento o tratamiento de datos contratados por NEXT.
El Responsable de Seguridad será la figura encargada de llevar la debida cuenta de la actualización de la lista del personal autorizado al acceso y tratamiento de los datos de carácter personal, así como de cursar las correspondientes altas y bajas de los usuarios y su debida comunicación al Responsable del Centro de Procesamiento de Datos.
Los datos de estos ficheros son borrados automáticamente, una vez han dejado de ser necesarios para la finalidad que fueron creados.
Los sistemas de información e instalaciones con tratamientos de datos personales se someterán cada dos años a una Auditoria, ya sea de tipo interna o externa, para la verificación del cumplimiento del Reglamento de Medidas de Seguridad así como de cualquier procedimiento e instrucción vigente en materia de seguridad de datos.
El Informe de Auditoría deberá:
El Responsable de Seguridad verificará mensualmente que las medidas de Seguridad adoptadas en el presente Documento de Seguridad se cumplan y de que se realicen o se hallen en proceso de implantación las medidas correctoras propuestas por el Informe de Auditoría. Asimismo, deberá informar puntualmente al Responsable de Fichero de todas aquellas anomalías suscitadas y detectadas en el sistema de información e instalaciones que contengan datos de carácter personal.
Las pruebas a realizar con anterioridad a la implantación o modificación de los Sistemas de Información que traten ficheros que contengan datos de carácter personal se podrán realizar siempre y cuando previamente se hayan tomado las medidas de seguridad que se requieran de conformidad con el nivel del fichero afectado.
Una vez acabada la prestación de servicios contractual para el tratamiento o gestión de datos por terceros, los datos de carácter personal serán destruidos o devueltos al Responsable de Fichero, así como cualquier soporte o documento en los que conste algún dato de carácter personal.
Funciones de los responsables de aplicación de la legislación de protección de datos de carácter personal:
Cada entorno o fichero lógico que tenga datos de carácter personal ha de tener un Responsable de Fichero.
Dicho Responsable del Fichero será la figura responsable ante la Agencia de Protección de Datos en todo lo que atañe el cumplimiento de la legalidad vigente y reguladora del uso, contenido, finalidad, tratamiento, capacitación y eventual cesión de ficheros.
El Responsable de Fichero, como máximo responsable del tratamiento o del Fichero y titular de los datos, está sujeto al régimen sancionador establecido en la Ley Orgánica 15/1999.
Así, si el Responsable de Fichero incurre en cualquiera de las infracciones descritas en las disposiciones legales vigentes relativas a las infracciones y sanciones en materia de protección de datos de carácter personal, éste podrá ser sancionado de conformidad con el baremo que contempla las infracciones de tipo leve, grave o muy grave. Es más, aunque el tratamiento de los datos de carácter personal sea llevado a cabo por un Encargado del Tratamiento en nombre del Responsable de Fichero, a este último se le seguirá manteniendo como responsable, en totalidad o en parte, salvo que se llegue a demostrar su exoneración.
Designación del Responsable de FicheroAunque la Ley Orgánica 15/1999 en su artículo 3(d) define al Responsable de Fichero como aquella persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento, es de opinión de la Agencia de Protección de Datos que el Responsable de Fichero se identifique con la figura de la empresa, es decir, en este caso concreto con NEXT CONSULTANS ORGANIZACIÓN Y SISTEMAS, S.L.
Sin perjuicio de lo anterior, es evidente que deviene necesario para el ejercicio de las funciones encomendadas por las disposiciones legales vigentes en materia de seguridad de datos de carácter personal la delegación en una persona física en concreto.
Así se designa como Responsable de Fichero a ________________.
Responsable de Seguridad: Responsabilidades, Designación y Aspectos LegalesEl Responsable de Fichero designará como mínimo a un Responsable de Seguridad por cada Centro de Procesamiento de Datos encargados de coordinar y controlar las medidas estipuladas en el presente Documento de Seguridad.
Las funciones del Responsable de Seguridad se materializan fundamentalmente en las de revisar el correcto funcionamiento de los mecanismos de control y de seguridad aplicables al tratamiento y gestión de los datos de carácter personal.
La Ley Orgánica 15/1999 y el Reglamento de Medidas de Seguridad definen las siguientes responsabilidades que recaerán sobre el Responsable de Seguridad:
Por consiguiente, las responsabilidades del Responsable de Seguridad se materializan en las siguientes funciones:
De conformidad con el artículo 16 del Real Decreto 994/1999, la designación del Responsable de Seguridad no supondrá bajo ningún concepto una delegación de toda aquella responsabilidad que corresponda al Responsable de Fichero según el Reglamento de Medidas de Seguridad.
De conformidad con lo anterior, se designa como Responsable de Seguridad a _____________________________.
En el supuesto de que una persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate los datos de carácter personal por cuenta del Responsable de Fichero o Tratamiento por medio de una relación contractual, surgirá la figura del Encargado del Tratamiento, el cual deberá cumplir con las siguientes responsabilidades definidas en la Ley Orgánica 15/1999 y el Reglamento 994/1999:
Aunque la figura del Encargado del Tratamiento realice el tratamiento de los datos de carácter personal en nombre del Responsable de Fichero de Tratamiento, no se le considera responsable legal de tales datos, salvo que contraríe las obligaciones recogidas en el artículo 12 de la Ley Orgánica 15/1999. Es decir, si el Encargado del Tratamiento destinara los datos de carácter personal a otra finalidad o bien los utilizara o comunicase incumpliendo las condiciones contractuales de prestación de servicios, sería éste responsable juntamente con el Responsable de Fichero, salvo que este último pudiera demostrar que no incurre en tal responsabilidad.
Así pues, las disposiciones normativas que recogen dichas responsabilidades del Encargado del Tratamiento contemplan lo siguiente:
Las personas que utilicen los Sistemas de Información que contengan y gestionen datos de carácter personal, como usuarios de NEXT y como responsables de su conducta, habrán de prestar un especial cuidado en el tratamiento de la información.
Partiendo de los principios establecidos en la Ley Orgánica 15/1999 resulta evidente que la responsabilidad individual de cada usuario repercute directamente en la correcta implantación de los controles y demás medidas de seguridad que salvaguarden los datos de carácter personal que se recogen en los Sistemas de Información.
Por todo ello, el usuario final se le atribuyen las siguientes responsabilidades:
La contraseña o clave de acceso es estrictamente personal y no podrá ser comunicada, revelada ni compartida a nadie que no sea el titular del código de usuario. Si se sospecha que es conocida la contraseña por persona distinta del titular, éste deberá proceder de inmediato al cambio de la contraseña. En cualquier caso, se deberá comunicar esta incidencia al Responsable de Seguridad.
Tanto si el sistema obliga o no, el cambio de contraseña se efectuará, como mínimo cada 3 meses. El usuario será responsable de realizar el cambio de contraseña en los términos definidos.
Tanto la contraseña inicialmente otorgada al usuario como, en su caso, la nueva contraseña han de consignarse de conformidad con las pautas siguientes:
La antedicha responsabilidad se extiende, incluso tras la terminación de la relación contractual o laboral que vincula al usuario con el Responsable de Fichero.
En el caso de que se le autorice la posesión o gestión de dichos ficheros contenidos de datos de carácter personal, deberá efectuar copias de seguridad de conformidad con los mecanismos previstos en el presente Documento de Seguridad.
El Departamento de NEXT dispondrá de un servicio 24 horas de Atención al Usuario. Se utilizará para ello una aplicación de registro de incidencias en el que se anotarán de forma automatizada los problemas e incidencias surgidas en el desarrollo normal de las operaciones de NEXT.
Cada ficha del Registro de Incidencia dispondrá de la información mínima contenida en el siguiente cuadro:
Nombre: Celda Descripción Contenido Celda
Número: Número de incidencia.
Usuario: Nombre y apellidos del usuario que comunica la incidencia.
Otros datos del usuario Departamento al que pertenece y un número de teléfono o e-mail de contacto.
Fecha y hora incidencia: Fecha y hora en la que se produce la incidencia (a comunicar por el usuario).
Fecha y hora registro incidencia: Fecha y hora en la que se registra la incidencia.
Síntomas: Efectos derivados, descripción de la tipología de la incidencia.
Sistema: Sistema afectado.
Prioridad Prioridad en la solución.
Personas encargadas: Persona especializada y cualificada que se la haya sido asignada la incidencia y persona que la ha solucionado (en caso de no coincidir con la primera).
Estado incidencia: Descripción del estado en que se halla la incidencia detectada en la primera fase de intervención por la persona encargada.
Acciones: Acciones desarrolladas para la recuperación.
Fechas de intervención - inicio y fin: Fecha de inicio y de finalizpión de las actuaciones realizadas.
Comunicación: Persona a quien se le comunica el estado de finalización de las actuaciones de recuperación.
Comprobación: Comprobación por el usuario de que la incidencia efectivamente ha sido solventada.
Observaciones: Demás datos relevantes y relativos a la restauración de ficheros y recuperación de datos.
Una vez que el personal del Departamento de Sistemas de Información de NEXT haya recibido la notificación de una incidencia por parte de un usuario, la deberá proceder a la investigación de la causa de la misma. Una vez identificada la causa, si ésta implica la parada del sistema o la solicitud del servicio de mantenimiento o si la incidencia se halla relacionada con algún fichero de carácter personal, la persona perteneciente al Departamento de Sistemas de Información que haya recibida la notificación, se lo comunicará al Administrador del Sistema al que afecta, el cual a su vez deberá adoptar las acciones pertinentes para la solución de la incidencia. En caso contrario, la persona perteneciente al Departamento de Sistemas de Información que haya recibida la notificación llevará a cabo todas aquellas acciones necesarias para solucionar la incidencia.
Una vez solucionada la incidencia, la persona perteneciente al Departamento de Sistemas de Información que haya recibida la notificación deberá notificar vía correo electrónico o por teléfono al usuario que detectó la incidencia el restablecimiento del servicio. Asimismo, dicha persona deberá proceder a cumplimentar en forma la ficha del Registro de Incidencias correspondiente.
En el supuesto de que las incidencias se detecten dentro del mismo Departamento de Sistemas de Información, los usuarios lo notificarán al Responsable del Departamento. Éste será la persona encargada de detectar la causa y de tomar todas aquellas medidas técnicas pertinentes para solventar la incidencia. Tras resolverse la incidencia la persona del Departamento de Sistemas de Información que efectivamente haya solucionado la incidencia deberá proceder a registrarla en forma en una ficha pertinente del Registro de Incidencias.
Accesos autorizados: autorizaciones concedidas a un usuario para la utilización de los diversos recursos.
Afectado o Interesado: persona física titular de los datos que sean objeto de Tratamiento de Datos.
Ámbito de datos: ámbito geográfico o de actuación del usuario correspondiente.
Autenticación: procedimiento de comprobación de la identidad de un usuario.
Cesión o comunicación de datos: toda revelación de datos realizada a una persona distinta del interesado.
Consentimiento del Interesado: toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.
Contraseña: información confidencial, frecuentemente constituida por una cadena de caracteres, que debe ser usada en la autenticación de un usuario.
Control de acceso: mecanismo que en función de la identificación ya autenticada permite acceder a datos o recursos.
Copia del respaldo / copia de seguridad: copia de los datos de un fichero automatizado en un soporte que posibilite su recuperación.
Datos de Carácter Personal: cualquier información (magnética, Impresa, gráfica, acústica, etc.) relativa a personas físicas identificadas o identificables. Es identificable toda persona cuya pueda ser determinada de firma directa o indirecta, especialmente mediante un número de identificación o por elementos característicos de su identidad física, fisiológica, psíquica, económica o social.
Encargado de Tratamiento: persona física o jurídica que, aislada o conjuntamente con otros, trata datos personales por cuenta del Responsable del Fichero. (Tratamiento del Fichero a cargo de terceros).
Entorno: conjunto de Ficheros, Programas, Locales y Equipos informáticos que conforman una unidad de tratamiento.
Fichero o tabla: todo conjunto organizado de Datos de Carácter Personal, sea cual sea la manera o modalidad de su creación, almacenamiento, organización y acceso.
Identificación: procedimiento de reconocimiento de la identidad de un usuario.
Incidencia: cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos.
Recurso: cualquier parte o componentes de un sistema de información, tanto personas, equipos, como aplicaciones, Ficheros, soportes magnéticos, etc.
Responsable del Fichero o Tratamiento: persona física o jurídica, de naturaleza pública o privada, que decide sobre la finalidad, contenido y uso del tratamiento.
Responsable de seguridad: persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables.
Sistemas de información: conjunto de ficheros automatizados, programas, soportes y equipos empleados para el almacenamiento y tratamiento de datos de carácter personal.
Soporte: objeto físico susceptible de ser tratado en un sistema de información y sobre el cual se pueden grabar o recuperar datos.
Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado o no, que permiten la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
Usuario: sujeto o proceso autorizado para acceder a datos o recursos de un sistema información.