Adaptación, formación y asesoramiento
a la Ley Orgánica de Protección de Datos (LOPD)

Legislación

Medidas de Seguridad

Medidas de Seguridad de Nivel Básico

Artículo 8 : Documento de seguridad
  1. 1. El responsable del fichero elaborará e implantará la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal, y a los sistemas de informaciónconjunto de ficheros automatizados, programas, soportes y equipos empleados para el almacenamiento y tratamiento de datos de carácter personal. .
  2. 2. El documento deberá contener, como mínimo, los siguientes aspectos:
    1. a) Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.
    2. b) Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este Reglamento.
    3. c) Funciones y obligaciones del personal.
    4. d) Estructura de los ficherosConjunto organizado de datos de caracter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. con datos de carácter personal y descripción de los sistemas de información que los tratan.
    5. e) Procedimiento de notificación, gestión y respuesta ante las incidencias.
    6. f) Los procedimientos de realizacián de copias de respoaldocopia de los datos de un fichero automatizado en un soporte que posibilite su recuperación y de recuperacián de los datos.
  3. 3. El documento deberá mantenerse en todo momento actualizado y deberá ser revisado siempre que se produzcan cambios relevantes en el sistema de información o en la organización del mismo.
  4. 4. El contenido del documento deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.
Artículo 9. Funciones y obligaciones del personal
  1. 1. Las funciones y obligaciones de cada una de las personas con acceso a los datos de carácter personal y a los sistemas de información estarán claramente definidas y documentadas de acuerdo con lo previsto en el artículo 8.2.c).
  2. 2. El responsable del fichero Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. adoptará las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento.
Artículo 10. Registro de incidencias
El procedimiento de notificación y gestión de incidenciasCualquier anomalía que afecte o pudiera afectar a la seguridad de los datos. contendrá necesariamente un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, la persona que realiza la notificación, a quién se le comunica y los efectos que se han derivado de la misma.
Artículo 11. Identificación y autenticación
  1. 1. El responsable del fichero se encargará de que exista una relación actualizada de usuarios que tengan acceso autorizadoAutorizaciones concedidas a un usuario para la utilización de los diversos recursos. al sistema de información y de establecer procedimientos de identificación y autenticación para dicho acceso.
  2. 2. Cuando el mecanismo de autenticación procedimiento de comprobación de la identidad de un usuario se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad.
  3. 3. Las contraseñas Información confidencial, frecuentemente constituida por una cadena de caracteres, que puede ser usada en la autenticación de un usuario. se cambiarán con la periodicidad que se determine en el documento de seguridad y mientras estén vigentes se almacenarán de forma ininteligible.
Artículo 12. Control de acceso
  1. 1. Los usuarios Sujeto o proceso autorizado para acceder a datos o recursos. tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones.
  2. 2. El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a información o recursos con derechos distintos de los autorizados.
  3. 3. La relación de usuarios a la que se refiere el artículo 11.1 de este Reglamento contendrá el acceso autorizado para cada uno de ellos.
  4. 4. Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los datos y recursos conforme a los criterios establecidos por el responsable del fichero.
Artículo 13. Gestión de Soportes
  1. 1. Los soportes informáticos Objeto físico susceptible de ser tratado en un sistema informático y sobre el cual se pueden grabar o recuperar datos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y almacenarse en un lugar con acceso restringido al personal autorizado para ello en el documento de seguridad.
  2. 2. La salida de soportes informáticos que contengan datos de carácter personal, fuera de los locales en los que esté ubicado el ficheroConjunto organizado de datos de caracter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso., únicamente podrá ser autorizada por el responsable del fichero.
Artículo 14. Copias de respaldo y recuperación
  1. 1. El responsable del fichero Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. se encargará de verificar la definición y correcta aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos.
  2. 2. Los procedimientos establecidos para la realización de copias de respaldo Copia de los datos de un fichero automatizado en un soporte que posibilite su recuperación. y para la recuperación de los datos deberá garantizar su reconstrucción en el estado en el que se encontraban al tiempo de producirse la pérdida o destrucción.
  3. 3. Deberán realizarse copias de respaldo, al menos semanalmente, salvo que en dicho período no se hubiera producido ninguna actualización de los datos.

subir

Medidas de Seguridad de Nivel Medio

Artículo 15. Documento de seguridad
El documento de seguridad deberá contener, además de lo dispuesto en el artículo 8 del presente Reglamento, la identificación del responsable o responsables de seguridadPersona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables. , los controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento y las medidas que sea necesario adoptar cuando un soporte vaya a ser desechado o reutilizado.
Artículo 16. Responsable de seguridad
El responsable del fichero designará uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el documento de seguridad. En ningún caso esta designación supone una delegación de la responsabilidad que corresponde al responsable del fichero de acuerdo con este Reglamento.
Artículo 17. Auditoría
  1. 1. Los sistemas de información e instalaciones de tratamiento de datos se someterán a una auditoría interna o externa, que verifique el cumplimiento del presente Reglamento, de los procedimientos e instrucciones vigentes en materia de seguridad de datos, al menos, cada dos años.
  2. 2. El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles al presente Reglamento, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y recomendaciones propuestas.
  3. 3. Los informes de auditoría serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del fichero para que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia de Protección de Datos.
Artículo 18. Identificación y autenticación
  1. 1. El responsable del fichero Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. establecerá un mecanismo que permita la identificación de forma inequívoca y personalizado de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.
  2. 2. Se limitará la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información.
Artículo 19. Control de acceso físico
Exclusivamente el personal autorizado en el documento de seguridad podrá tener acceso a los locales donde se encuentren ubicados los sistemas de información con datos de carácter personal.
Artículo 20. Gestión de soportes
  1. 1. Deberá establecerse un sistema de registro de entrada de soportes informáticos que permita, directa o indirectamente, conocer el tipo de soporte, la fecha y hora, el emisor, el número de soportes, el tipo de información que contienen, la forma de envío y la persona responsable de la recepción que deberá estar debidamente autorizada.
  2. 2. Igualmente, se dispondrá de un sistema de registro de salida de soportes informáticos que permita , directa o indirectamente, conocer el tipo de soporte, la fecha y hora, el destinatario, el número de soportes, el tipo de información que contienen, la forma de envío y la persona responsable de la entrega que deberá estar debidamente autorizada.
  3. 3. Cuando un soporte Objeto físico susceptible de ser tratado en un sistema informático y sobre el cual se pueden grabar o recuperar datos. vaya a ser desechado o reutilizado, se adoptarán, las medidas necesarias para impedir cualquier recuperación posterior de la información almacenada en él, previamente a que se proceda a su baja en el inventario.
  4. 4. Cuando los soportes vayan a salir fuera de los locales en que se encuentren ubicados los ficheros como consecuencia de operaciones de mantenimiento, se adoptarán las medidas necesarias para impedir cualquier recuperación indebida de la información almacenada en ellos.
Artículo 21. Registro de incidencias
  1. 1. En el registro regulado en el artículo 10 deberán consignarse, además, los procedimientos realizados de recuperación de los datos, indicando la persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha sido necesario grabar manualmente en el proceso de recuperación.
  2. 2. Será necesaria la autorización por escrito del responsable del fichero para la ejecución de los procedimientos de recuperación de los datos.
Artículo 22. Pruebas con datos reales
Las pruebas anteriores a la implantación o modificación de los sistemas de información que traten ficheros con datos de carácter personal no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tipo de fichero tratado.

subir

Medidas de Seguridad de Nivel Alto

Artículo 23. Distribución de soportes
La distribución de los soportes que contengan datos de carácter personal Información concerniente a personas físicas identificadas o identificables. se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que dicha información no sea inteligible ni manipulada durante su transporte.
Artículo 24. Registro de accesos
  1. 1. De cada acceso se guardarán, como mínimo, la identificación Procedimiento de reconocimiento de la identidad de un usuario. del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.
  2. 2. En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido.
  3. 3. Los mecanismos que permiten el registro de los datos detallados en los párrafos anteriores estarán bajo el control directo del responsable de seguridad competente sin que se deba permitir, en ningún caso, la desactivación de los mismos.
  4. 4. El período mínimo de conservación de los datos registrados será de dos años.
  5. 5. El responsable de seguridad competente se encargará de revisar periódicamente la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados al menos una vez al mes.
Artículo 25. Copias de respaldo y recuperacióón.
Deberá conservarse una copia de respaldo y de los procedimientos de recuperación de los datos en un lugar diferente de aquél en que se encuentren los equipos informáticos que los tratan cumpliendo en todo caso, las medidas de seguridad exigidas en este Reglamento.
Artículo 26. Telecomunicaciones.
La transmisión de datos de carácter personal a través de redes de telecomunicaciones se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.

subir

© Adapta Soluciones 2007