PDF de programación - Guía de Seguridad de Datos

Imágen de pdf Guía de Seguridad de Datos

Guía de Seguridad de Datosgráfica de visualizaciones

Actualizado el 10 de Agosto del 2020 (Publicado el 17 de Noviembre del 2017)
1.065 visualizaciones desde el 17 de Noviembre del 2017
304,7 KB
72 paginas
Creado hace 12a (24/09/2008)
GUíA

de Seguridad de Datos

©AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
NIPO: 052-08-003-6

Diseño Gráfico:

É N

Imprime: NILO Industria Gráfica, S.A.

GUíAde Seguridad de Datos

GUíA de Seguridad de Datos

e
c
i
d
n

i

4

7
7
8
8
10

14
14
15
17
19

29
29
31
32
33

34

37

37

37

38

38

38

39

39

40
40
40
40
41
41
53

54

INTRODUCCIÓN

MEDIDAS DE SEGURIDAD
APLICACIÓN DE NIVELES
MEDIDAS A APLICAR
EL DOCUMENTO DE SEGURIDAD
CUADRO RESUMEN

GUÍA MODELO DEL DOCUMENTO DE SEGURIDAD
ORGANIZACIÓN DEL MODELO
DOCUMENTO DE SEGURIDAD
ÁMBITO DE APLICACIÓN DEL DOCUMENTO
MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS Y ESTÁNDARES ENCAMINADOS A GARANTIZAR LOS
NIVELES DE SEGURIDAD EXIGIDOS EN ESTE DOCUMENTO
PROCEDIMIENTO GENERAL DE INFORMACIÓN AL PERSONAL
FUNCIONES Y OBLIGACIONES DEL PERSONAL
PROCEDIMIENTOS DE NOTIFICACIÓN, GESTIÓN Y RESPUESTA ANTE LAS INCIDENCIAS
PROCEDIMIENTOS DE REVISIÓN
CONSECUENCIAS DEL INCUMPLIMIENTO DEL DOCUMENTO DE SEGURIDAD

ANEXO I - DESCRIPCIÓN DE FICHEROS

ANEXO II - NOMBRAMIENTOS

ANEXO III - AUTORIZACIONES DE SALIDA O RECUPERACIÓN DE DATOS

ANEXO IV - DELEGACIÓN DE AUTORIZACIONES

ANEXO V - INVENTARIO DE SOPORTES

ANEXO VI - REGISTRO DE INCIDENCIAS

ANEXO VII - ENCARGADOS DE TRATAMIENTO

ANEXO VIII - REGISTRO DE ENTRADA Y SALIDA DE SOPORTES

ANEXO IX - MEDIDAS ALTERNATIVAS

COMPROBACIONES PARA LA REALIZACIÓN DE LA AUDITORÍA DE SEGURIDAD
OBJETIVO
DETERMINACIÓN DEL ALCANCE DE LA AUDITORÍA
PLANIFICACIÓN
RECOLECCIÓN DE DATOS
EVALUACIÓN DE PRUEBAS
ELABORACIÓN DEL INFORME

PREGUNTAS FRECUENTES

INTRODUCCIÓN

El artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de
carácter personal (LOPD), establece en su punto 1 que "el responsable del fichero, y, en su
caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y orga-
nizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten
su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la
tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya
provengan de la acción humana o del medio físico o natural".

El Reglamento de desarrollo de la LOPD (RLOPD), aprobado por el Real Decreto 1720/2007,
de 21 de diciembre, fue publicado en el BOE número 17, de 19 de enero de 2008. El Título
VIII de este reglamento desarrolla las medidas de seguridad en el tratamiento de datos de
carácter personal y tiene por objeto establecer las medidas de índole técnica y organizativa
necesarias para garantizar la seguridad que deben reunir los ficheros, los centros de trata-
miento, locales, equipos, sistemas, programas y las personas que intervengan en el trata-
miento de los datos de carácter personal.

Entre estas medidas, se encuentra la elaboración e implantación de la normativa de segu-
ridad mediante un documento de obligado cumplimiento para el personal con acceso a los
datos de carácter personal.

Con el objeto de facilitar a los responsables de ficheros y a los encargados de tratamientos
de datos personales la adopción de las disposiciones del RLOPD, la Agencia Española de
Protección de Datos pone a su disposición este documento, en el que se recopila un cua-
dro resumen de las medidas de seguridad recogidas en el citado Título VIII, un modelo de
"Documento de Seguridad", que sirve de guía y facilita el desarrollo y cumplimiento de la
normativa sobre protección de datos, y por último, una relación de comprobaciones con el
objeto de facilitar la realización de la auditoría de seguridad.

4

AVISO IMPORTANTE:

Debe entenderse, en cualquier caso, que siempre habrá que ate-
nerse a lo dispuesto en la LOPD, en el RLOPD, y en el resto de pre-
visiones relativas a la protección de datos de carácter personal, y
que la utilización de este modelo como guía de ayuda para des-
arrollar un "Documento de Seguridad" debe, en todo caso, tener
en cuenta los aspectos y circunstancias aplicables en cada caso
concreto, sin prejuzgar el criterio de la Agencia Española de
Protección de Datos en el ejercicio de sus funciones.

En la web de la Agencia Española de Protección de Datos se encuentra disponible la ver-
sión actualizada de esta Guía de Seguridad (www.agpd.es)

5

MEDIDAS DE SEGURIDAD

Las medidas de seguridad exigibles a los ficheros y tratamientos de datos personales se
clasifican en tres niveles: BÁSICO, MEDIO y ALTO.

APLICACION DE NIVELES

A continuación se indican los ficheros y tratamientos a los que corresponde aplicar las
medidas de seguridad relativas a cada uno de los niveles que determina el RLOPD.

NIVEL ALTO. Ficheros o tratamientos con datos:

de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual y
respecto de los que no se prevea la posibilidad de adoptar el nivel básico;
recabados con fines policiales sin consentimiento de las personas afectadas; y
derivados de actos de violencia de género.

NIVEL MEDIO. Ficheros o tratamientos con datos:

relativos a la comisión de infracciones administrativas o penales;
que se rijan por el artículo 29 de la LOPD (prestación de servicios de solvencia patrimo-
nial y crédito);
de Administraciones tributarias, y que se relacionen con el ejercicio de sus potestades tri-
butarias;
de entidades financieras para las finalidades relacionadas con la prestación de servicios
financieros;
de Entidades Gestoras y Servicios Comunes de Seguridad Social, que se relacionen con
el ejercicio de sus competencias;

7

de mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social;
que ofrezcan una definición de la personalidad y permitan evaluar determinados aspec-
tos de la misma o del comportamiento de las personas; y
de los operadores de comunicaciones electrónicas, respecto de los datos de tráfico y
localización 1

NIVEL BÁSICO. Cualquier otro fichero que contenga datos de carácter personal. También
aquellos ficheros que contengan datos de ideología, afiliación sindical, religión, creencias,
salud, origen racial o vida sexual, cuando:

los datos se utilicen con la única finalidad de realizar una transferencia dineraria a enti-
dades de las que los afectados sean asociados o miembros;
se trate de ficheros o tratamientos no automatizados o sean tratamientos manuales de
estos tipos de datos de forma incidental o accesoria, que no guarden relación con la
finalidad del fichero; y
en los ficheros o tratamientos que contengan datos de salud, que se refieran exclusiva-
mente al grado o condición de discapacidad o la simple declaración de invalidez, con
motivo del cumplimiento de deberes públicos.

MEDIDAS A APLICAR

EL DOCUMENTO DE SEGURIDAD

Es un documento interno de la organización, que debe mantenerse siempre actualizado.
Disponer del documento de seguridad es una obligación para todos los responsables de
ficheros y, en su caso, para los encargados del tratamiento, con independencia del nivel de
seguridad que sea necesario aplicar.

Los apartados mínimos que debe incluir el documento de seguridad son los siguientes:

ámbito de aplicación: especificación detallada de los recursos protegidos;
medidas, normas, procedimientos, reglas y estándares de seguridad;
funciones y obligaciones del personal,

1 Para esta categoría de ficheros además deberá disponerse de un registro de accesos

8

estructura y descripción de los ficheros y sistemas de información;
procedimiento de notificación, gestión y respuesta ante incidencias;
procedimiento de copias de respaldo y recuperación de datos;
medidas adoptadas en el transporte, destrucción y/o reutilización de soportes y docu-
mentos.

A partir del nivel medio de medidas de seguridad, además de los apartados anteriores,
deberán incluirse los siguientes:

identificación del responsable de seguridad y
control periódico del cumplimiento del documento

En caso de haber contratado la prestación de servicios por terceros para determinados fiche-
ros, en el documento de seguridad se debe hacer constar esta circunstancia, indicando una
referencia al contrato y su vigencia, así como los ficheros objeto de este tratamiento.

Si se ha contratado la prestación de servicios en relación con la totalidad de los ficheros
y tratamientos de datos del responsable, y dichos servicios se prestan en las instalaciones
del encargado del tratamiento se podrá delegar en éste la llevanza del documento de
seguridad.

En el capítulo de “Guía modelo del Documento de seguridad” se encuentra el modelo que
facilita la elaboración de este documento de seguridad.

9

N
E
M
U
S
E
R




O
R
D
A
U
C

RESPONSABLE
DE
SEGURIDAD

Nivel Básico

Nivel Medio

El responsable del fichero tiene
que designar a uno o varios res-
ponsables de seguridad (no es una
delegación de responsabilidad).
El responsable de seguridad es el
encargado de coordinar y contro-
lar las medidas del documento.

Nivel Alto

Funciones y obligaciones de los
diferentes usuarios o de los perfi-
les de usuarios claramente defini-
das y documentadas.
Definición de las funciones de
control y
las autorizaciones
delegadas por el responsable.
Difusión entre el personal, de las
normas que les afecten y de las
consecuencias por su incumpli-
miento.

Registro de incidencias: tipo,
momento de su detección, per-
sona que la notifica, efectos y
medidas correctoras.
Procedimiento de notificación y
gestión de las incidencias.

Relación actualizada de usuarios
y accesos autorizados.
Control de accesos permitidos a
cada usuario según las funciones
asignadas.
Mecanismos que eviten el acceso a
datos o recursos con derechos dis-
tintos de los autorizados.
Concesión de permisos de acceso
sólo por personal autorizado.
Mismas condiciones para perso-
nal ajeno con acceso a los recur-
sos de datos.

PERSONAL

INCIDENCIAS

CONTROL
DE ACCESO

10

SOLO FICHEROS AUTOMATIZADOS
Anotar los procedimientos de
recuperación, persona que lo eje-
cuta, dat
  • Links de descarga
http://lwp-l.com/pdf7515

Comentarios de: Guía de Seguridad de Datos (0)


No hay comentarios
 

Comentar...

Nombre
Correo (no se visualiza en la web)
Valoración
Comentarios...
CerrarCerrar
CerrarCerrar
Cerrar

Tienes que ser un usuario registrado para poder insertar imágenes, archivos y/o videos.

Puedes registrarte o validarte desde aquí.

Codigo
Negrita
Subrayado
Tachado
Cursiva
Insertar enlace
Imagen externa
Emoticon
Tabular
Centrar
Titulo
Linea
Disminuir
Aumentar
Vista preliminar
sonreir
dientes
lengua
guiño
enfadado
confundido
llorar
avergonzado
sorprendido
triste
sol
estrella
jarra
camara
taza de cafe
email
beso
bombilla
amor
mal
bien
Es necesario revisar y aceptar las políticas de privacidad