2017 03 13 documento de seguridad beebench · por su parte el título vii del rlopd desarrolla las...

DocumentodeSeguridadde

ProteccióndeDatos

de

BEEBENCH,SL

DOCUMENTO DE SEGURIDAD DE PROTECCIÓN DE DATOS

2

A.-Introducción.............................................................................................................................

1.-Objetodeldocumento.................................................................................................

2.-Ámbitodeaplicación……………………………………………….................................................

3.-Recursosprotegidos...................................................................................................

4.-FuncionesyObligacionesdelpersonal…....................................................................

5.-Procedimientos,ReglasyEstándaresdeseguridad…………………………………………………

6.-Derechosdeacceso,rectificación,cancelaciónyoposiciónporelafectado…………...

B.-Descripcióndelosrecursosprotegidos...................................................................................

1.-Relacióndeficheros....................................................................................................

2.-Relacióndesoportes...................................................................................................

3.-Relacióndeequipos....................................................................................................

4.-Programasqueafectenalosficheros............................................................................

5.-Relacióndeusuarios....................................................................................................

6.-EncargadosdelTratamiento.......................................................................................

C.-Medidasencaminadasagarantizarelniveldeseguridadexigido...........................................

1.-Procedimientodecontroldeacceso..………………………………………………………………………..

2.-Procedimientodegestióndesoportesydocumentos………………………………………………..

3.-Copiasderespaldoyrecuperación……………………………………………………………………………..

4.-Procedimientodegestióndeincidencias……………………………………………………………………

5.-Medidasdeseguridadparaficherosnoautomatizados……………………………………………..

D.-ANEXO1.-LibroRegistrodeIncidencias………………………………………………………………………………..

E.-ANEXO2.-NotificacionesdeficherospresentadosalaA.E.P.D.……………………………………………

3

4

4

5

5

8

9

12

12

16

16

17

18

20

21

21

23

25

26

27

28

31


3

DOCUMENTODESEGURIDAD

A.-Introducción.Este documento tiene la finalidad de establecer las medidas técnicas y organizativas queBEEBENCH,SL(enadelante,“laCompañíao“elResponsabledelosFicheros”)hatomadoparaproteger los recursos condatospersonalesque gestionapara el ejerciciode sus actividadesprofesionales. Con este objetivo la Compañía redacta este documento (en adelante,“DocumentodeSeguridad”),conelfindeadecuarsusactividadesa lanormativaenvigorenmateriadeproteccióndedatos,especialmentealaLeyOrgánica15/1999,de13dediciembre,de Protección de Datos de Carácter Personal (en adelante, “LOPD”) y el Real Decreto1720/2007,de21dediciembre,porelqueseapruebaelReglamentodedesarrollodelaLeyOrgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (enadelante,“RLOPD”).

Elartículo9deLOPDestableceensupunto1que"elresponsabledelfichero,y,ensucaso,elencargadodeltratamiento,deberánadoptarlasmedidasdeíndoletécnicayorganizativasnecesariasquegaranticenlaseguridaddelosdatosdecarácterpersonalyevitensualteración,pérdida,tratamientooaccesonoautorizado,habidacuentadelestadodelatecnología,lanaturalezadelosdatosalmacenadosylosriesgosaqueestánexpuestos,yaprovengandelaacciónhumanaodelmediofísicoonatural".

PorsuparteelTítuloVIIdelRLOPDdesarrollalasmedidasdeseguridadeneltratamientodedatosdecarácterpersonalytieneporobjetoestablecerlasmedidasdeíndoletécnicayorganizativanecesariasparagarantizarlaseguridadquedebenreunirlosficheros,loscentrosdetratamiento,locales,equipos,sistemas,programasylaspersonasqueintervenganeneltratamientodelosdatosdecarácterpersonal.

Entreestasmedidas,seencuentralaelaboracióneimplantacióndelanormativadeseguridadmedianteundocumentodeobligadocumplimientoparaelpersonalconaccesoalosdatosdecarácterpersonal.

Estedocumentodeberámantenersepermanentementeactualizado.Cualquiermodificaciónrelevanteconllevarásurevisión,delanormativaincluiday,siprocede,sumodificacióntotaloparcial.


4

1.-Objetodeldocumento

Elpresentedocumentoysusanexosrespondealaobligaciónestablecidaenelartículo88delRealDecreto1720/2007de21dediciembrededesarrollodelaLeyOrgánica15/1999de13dediciembre de protección de datos de carácter personal. Por lo que en él se recogen lasmedidas de índole técnica y organizativa necesarias para garantizar la protección,confidencialidad, integridad y disponibilidad de los ficheros de datos de carácter personalobjetodelpresentedocumentodeseguridad.

2.-Ámbitodeaplicación

El presente documento será de aplicación a los ficheros que contienen datos de carácterpersonalque sehallanbajo la responsabilidaddeBEEBENCH,SL, incluyendo los sistemasdeinformación, soportes y equipos empleados para el tratamiento automatizado ymanual dedatosdecarácterpersonal,quedebanserprotegidosdeacuerdoalodispuestoennormativavigente,laspersonasqueintervieneneneltratamientoyloslocalesenlosqueseubican.

Enconcreto,losficherossujetosalasmedidasdeseguridadestablecidasenestedocumento,sonlossiguientes:

q CLIENTES(sistemamixto).

q FREELANCERS(sistemamixto).

q RECURSOSHUMANOS(sistemamixto).

q USUARIOSWEB(sistemamixto).

ElcentrodetrabajodelResponsabledelosFicherosdondesellevaacaboeltratamientodedatos,seencuentraubicadoen:

C/Moreto,175ºDCHA

C.P.28014

Madrid

Este documento ha sido elaborado bajo la responsabilidad de la Compañía, que comoResponsabledelFichero,secomprometeaimplantaryactualizarestaNormativadeSeguridadde obligado cumplimiento para todo el personal con acceso a los datos protegidos o a lossistemasdeinformaciónquepermitanelaccesoalosmismos.

TodaslaspersonasquetenganaccesoalosdatosdelosFicheros,seencuentranobligadasporley a cumplir lo establecido en estedocumento, y sujetas a las consecuencias quepudieranincurrir en caso de incumplimiento. Una copia de este documento será entregada, para suconocimiento,acadapersonaautorizadaaaccederalosdatosdelosFicheros.


5

3.-Recursosprotegidos

Laprotecciónde losdatosde losFicherosfrenteaaccesosnoautorizadossedeberárealizarmediante el control, a su vez, de todas las vías por las que se pueda tener acceso a dichainformación.

Losrecursosque,porservirdemediodirectooindirectoparaaccederalosFicheros,deberánsercontroladosporestanormativason:

1. Loscentrosdetratamientoylocalesdondeseencuentrenubicadoslosficherososealmacenenlossoportesqueloscontengan.

2. Los puestos de trabajo, bien locales o remotos, desde los que se pueda teneraccesoalosFicheros.

3. Los servidores, si los hubiese, y el entorno de sistema operativo y decomunicacionesenelqueseencuentraubicadoelosFicheros.

4. Lossistemasinformáticos,oaplicacionesestablecidosparaaccederalosdatos.

4.-FuncionesyObligacionesdelpersonal:

LosresponsablesdelosFicherosyelpersonalasucargoautorizadoparaelusodelosdatosdecarácterpersonal,estánsujetosalcumplimientodelossiguientesdeberesyobligaciones.Todo el personal que acceda a los datos de carácter personal está obligado a conocer yobservarlasmedidas,normas,procedimientos,reglasyestándaresqueafectenalasfuncionesquedesarrollan.ConstituyeunaobligacióndelpersonalnotificaralapersonaresponsablequedesignelaCompañía,delasincidenciasdeseguridaddelasquetenganconocimientorespectoa los recursos protegidos, según los procedimientos establecidos en este Documento, y enconcreto en el apartado de “Procedimientos de notificación, gestión y respuesta ante lasincidencias”.

Todas las personas deberán guardar el debido secreto y confidencialidad sobre los datospersonalesqueconozcaneneldesarrollodesutrabajo.

Elpersonalquerealicetrabajosquenoimpliqueneltratamientodedatospersonalestendránlimitadoelaccesoaestosdatos,alossoportesqueloscontengan,oalosrecursosdelsistemadeinformación.

Cuando se trate de personal ajeno, el contrato de prestación de servicios recogeráexpresamente la prohibición de acceder a los datos personales y la obligación de secretorespectodeaquellosdatosquehubierapodidoconocerdurantelaprestacióndelservicio.

1. Definiciones:

A efectos de este Documento de Seguridad a los siguientes términos se les asignarán lassiguientesdefiniciones:

Dato de carácter personal: cualquier información relativa a personas físicasidentificadasoidentificables.


6

Fichero: todo conjunto organizado de datos de carácter personal,independientementedelaformaolamodalidaddesucreación,almacenamiento,organizaciónyacceso.

Tratamiento de datos: operaciones y procedimientos técnicos de carácterautomatizado, o no, que permitan la recogida, grabación, conservación,elaboración,modificación,bloqueoycancelación,asícomolascesionesdedatosqueresultendecomunicaciones,consultas,interconexionesytransferencias.

Responsabledelfichero:lapersonafísicaojurídicadecarácterprivadoopúblico,u órgano administrativo, que decida sobre la finalidad, contenido y uso deltratamiento.

Responsable de seguridad: persona o personas a las cuales el responsable delfichero asigna la función de coordinar y controlar las medidas de seguridadaplicables.

Encargadodeltratamiento:lapersonafísicaojurídicaquetratedatosporcuentadelresponsabledelfichero.

Sistemas de información: conjunto de ficheros automatizados, programas,soportesyequiposutilizadosparaalmacenarytratardatospersonales.

Sistema de tratamiento: modo en que se organiza o utiliza el sistema deinformación.Atendiendoal sistemade tratamiento, los sistemasde informaciónpodránserautomatizados,noautomatizadosoparcialmenteautomatizados.

Usuarios autorizados:Personal de la empresa o entidad con acceso a datos decarácterpersonal.Sólotendránaccesoalosrecursosalosqueesténautorizadosenestedocumentodeseguridad.

2. Deber de información en la recogida de datos: Los afectados a los que se le

soliciten los datos personales deberán ser previamente informados de modoexpreso,precisoeinequívocodelaexistenciadeunficherootratamientodedatosdecarácterpersonal,delafinalidaddelarecogidadeéstosydelosdestinatariosde la información, así como, de la identidad y dirección del responsable deltratamientodelosdatos.EstedeberdeinformaciónsecumplimentaráentregandoalafectadounDocumentodeInformación,delqueexisteunmodeloenpoderdelresponsabledelosficheros.

3. Obligación de recabar el consentimiento inequívoco del afectado para el

tratamiento de sus datos de carácter personal mediante el mencionadoDocumentodeInformación.

4. Deber de adoptar medidas de seguridad: El responsable del fichero deberá

adoptarlasmedidasdeíndoletécnicasyorganizativasnecesariasquegaranticenlaseguridad de los datos de carácter personal y eviten su alteración, pérdida,tratamiento o acceso no autorizado. Este deber se cumplimentarámediante laredaccióndelpresenteDocumentodeSeguridad.

5. Deberdesecreto:Todoelpersonalconaccesoalosdatosdecarácterpersonalya

los sistemasde información,estáobligadoal secretoprofesional respectode losmismosyaldeberdeguardarlo,inclusodespuésdefinalizarsusrelacionesconel


7

6. titular del fichero automatizado o, en su caso, del responsable del mismo. Estedebersecumplimentarámediantelafirma,porpartedelpersonalautorizado,deunCompromisoporEscritoenelqueseexpondráeldeberdesecretoycustodia,asícomo,lassancionesadministrativasypenales, laboralesyprofesionalesenlasquepudieranincurrirencasodeincumplimientodesusfuncionesyobligaciones.

7. Deberdeinformaryrecabarelconsentimientodelafectadoparalacesióndesus

datos de carácter personal: Este deber se cumplirá mediante el envío de uncomunicadoalafectado,quedejeconstanciadelenvíoydelafechaderecepción,expresando:

a) Los datos identificativos del responsable del fichero cedente

(denominación,actividad,direcciónpostalyteléfono).

b) Los datos de carácter personal del afectado que obran en poder delresponsable del fichero y cuya comunicación a un tercero se pretendeautorizar.

c) Lascircunstanciasenqueelresponsabledelficheroobtuvolosdatosque

se pretende comunicar, con mención de la información o elconsentimientoprestadosconocasióndelarecogidadelosmismos.

d) La finalidad a la que se destinarán los datos cuya comunicación sepretendeautorizar.

e) La sujeción del cesionario, por el sólo hecho de la comunicación de losdatos personales, a la Ley Orgánica de Protección de Datos de CarácterPersonal15/1999,de13dediciembre.

f) La advertencia, gráficamente destacada, de que si no se manifiesta lo

contrario en el término de 15 días naturales contados a partir del díasiguiente al de la recepción del comunicado, se entenderá que presta elconsentimiento a la comunicación de sus datos personales, así como, elcarácterrevocabledelconsentimientoprestado.

g) Laadvertenciadequeenadelante lasanálogascomunicacionesdedatosque se produzcan amparadas en lamisma autorización no darán lugar ainformaciónexpresacomolapresente.

8. Deber de cooperación con la Agencia de Protección de Datos: Cumpliendo

puntualmente las instrucciones que dicte el Director de la Agencia,proporcionando la información y documentos que éste o aquélla requieran,remitiendo a la Agencia las notificaciones previstas en la normativa vigente(creación,modificacióno supresiónde ficherosquecontengandatosde carácterpersonal)ynoobstruyendolalaborinspectoradelaAgencia.

9. Obligacionesespecíficasdelosusuariosautorizados:

a) Lospuestosdetrabajo,entendidoscomotodosaquellosdispositivosdesdelos cuales se puede acceder a los datos del Fichero, como, por ejemplo,


8

terminalesuordenadorespersonales,estánbajolaresponsabilidaddelosusuarios autorizados, los cuales impedirán que la información a la quetienenaccesopuedaservisibleparapersonasnoautorizadas.

b) Los usuarios autorizados sólo pueden acceder a los recursos a los queesténautorizadosenelpresentedocumentodeseguridad.

c) Cuandoseabandoneunpuestodetrabajo,bientemporalmenteobienal

finalizar su turno de trabajo, deberá dejarlo en un estado que impida lavisualizacióndelosdatosprotegidos.Estopodrárealizarseatravésdeunprotector de pantalla que impida la visualización de los datos. Lareanudación del trabajo implicará la desactivación de la pantallaprotectoraconlaintroduccióndelacontraseñacorrespondiente.

d) Enelcasodelasimpresoras,losusuariosautorizadosdeberánasegurarse

que no queden documentos impresos en la bandeja de salida quecontengandatosprotegidos.

e) Cadausuario será responsablede la confidencialidaddesucontraseñay,

en el caso de que ésta se vea comprometida, de registrarlo comoincidenciaysolicitarsucambio.

f) Cadausuarioquetengaconocimientodeunaincidenciaesresponsablede

lacomunicaciónalresponsabledelficheroydelregistrodelamisma,delocontrariocometeráunafaltacontralaseguridaddelfichero.

5.-Procedimientos,ReglasyEstándaresdeseguridad

1. Accesoalosdatosatravésderedesdetelecomunicaciones

Los accesos a datos a través de redes de telecomunicaciones tendrán quegarantizar un nivel de seguridad equivalente al correspondiente a los accesosrealizadosdeformalocal.

2. Régimendetrabajofueradeloslocalesdelaubicacióndelosficheros

Laejecucióndetratamientosdedatosdecarácterpersonalfueradeloslocalesdela ubicación de los ficheros tendrá que ser autorizado expresamente por elResponsabledelosFicherosy,encualquiercaso,habráquegarantizarelniveldeseguridadcorrespondientealtipodeficherotratado.

3. Ficherostemporales

Los ficheros temporales tendrán que cumplir el nivel de seguridad que lescorresponda.Cualquierficherotemporalseríaborradounavezhayadejadodesernecesariopara las finalidadesquemotivaronsucreación.De formaperiódica seprocederá a revisar los servidores con finalidad de asegurar la adecuadadestruccióndelosficherostemporalesendesuso.

4. Identificaciónyautenticación

LaCompañíadisponedeunsistemaparaidentificarelaccesoaficheroscondatospersonales y autenticar de forma inequívoca a las personas con acceso a loscitadosficheros,demaneraquesólopuedanaccederlaspersonasquehayansido


9

autorizadas previamente a estos efectos. Asimismo Urbanretail dispone desistemas para limitar los intentos reiterados de entradas no autorizadas a losficheroscondatosdecarácterpersonal.

6.-Derechosdeacceso,rectificación,cancelaciónyoposiciónporelafectado

La Compañía se obliga a posibilitar en todo momento al titular de los datos de carácterpersonal,elejerciciodelosderechosdeacceso,rectificación,cancelaciónyoposiciónsobrelosdatosobjetodetratamiento.

1. Carácterpersonalísimo

Los derechos de acceso, rectificación, cancelación y oposición son personalísimos y seránejercidosporelafectado.

Talesderechosseejercitarán:

-Porelafectado,acreditandosuidentidad.

-Cuando el afectado se encuentre en situación de incapacidad o minoría de edad que leimposibilite el ejerciciopersonaldeestosderechos,podránejercitarsepor su representantelegal,encuyocasoseránecesarioqueacreditetalcondición.

-Losderechostambiénpodránejercitarseatravésderepresentantevoluntario,expresamentedesignadoparaelejerciciodelderecho.Enestecaso,deberáconstarclaramenteacreditadalaidentidad del representado,mediante la aportación de copia de suDocumentoNacional deIdentidadodocumentoequivalente,ylarepresentaciónconferidaporaquél.

Los derechos serán denegados cuando la solicitud sea formulada por persona distinta delafectadoynoseacreditasequelamismaactúaenrepresentacióndeaquél.

2. Condicionesgeneralesparaelejerciciodelosderechosdeacceso,rectificación,cancelaciónyoposición.

Losderechosde acceso, rectificación, cancelación y oposición sonderechos independientes,nopuedeentendersequeelejerciciodeningunodeellossearequisitoprevioparaelejerciciodeotro.Deberáconcedersealinteresadounmediosencilloygratuitoparaelejerciciodelosderechosdeacceso,rectificación,cancelaciónyoposición.

El ejercicioporel afectadode susderechosdeacceso, rectificación, cancelaciónyoposiciónserá gratuito y en ningún caso podrá suponer un ingreso adicional para el responsable deltratamientoanteelqueseejerzan.

No se considerarán conformes a lo dispuesto en la LOPD, y en el presente Documento lossupuestos en que el responsable del tratamiento establezca como medio para que elinteresado puede ejercitar sus derechos el envío de cartas certificadas o semejantes, lautilización de servicios de telecomunicaciones que implique una tarificación adicional alafectadoocualesquieraotrosmediosqueimpliquenuncosteexcesivoparaelinteresado.

Cuandoelresponsabledelficherootratamientodispongadeserviciosdecualquieríndoleparalaatenciónasupúblicooelejerciciodereclamacionesrelacionadasconelservicioprestadoolosproductosofertadosalmismo,podráconcederse laposibilidadalafectadodeejercersus


10

derechosdeacceso, rectificación,cancelaciónyoposiciónatravésdedichosservicios.Entalcaso,laidentidaddelinteresadoseconsideraráacreditadaporlosmediosestablecidosparalaidentificaciónde losclientesdel responsableen laprestacióndesusserviciosocontratacióndesusproductos.

El responsabledel ficheroo tratamientodeberáatender la solicituddeacceso, rectificación,cancelaciónyoposiciónejercidaporelafectadoauncuandoelmismonohubieseutilizadoelprocedimiento establecido específicamente al efecto por aquel, siempre que el interesadohayautilizadounmedioquepermitaacreditarelenvíoylarecepcióndelasolicitud,yqueéstacontengaloselementosreferidosenlosartículos15a17delaLOPD,yeneltítuloIIIRLOPD.

Derechodeacceso

Elderechodeaccesoesel derechodel afectadoaobtener información sobre si suspropiosdatos de carácter personal están siendo objeto de tratamiento, la finalidad del tratamientoque, en su caso, se esté realizando, así como la información disponible sobre el origen dedichosdatosylascomunicacionesrealizadasoprevistasdelosmismos.

En virtud del derechode acceso el afectadopodrá obtener del responsable del tratamientoinformación relativa a datos concretos, a datos incluidos en un determinado fichero, o a latotalidaddesusdatossometidosatratamiento.

Derechosderectificaciónycancelación

El derecho de rectificación es el derecho del afectado a que se modifiquen los datos queresultenserinexactosoincompletos.Elejerciciodelderechodecancelacióndarálugaraquese supriman los datos que resulten ser inadecuados o excesivos, sin perjuicio del deber debloqueoconformeaestedocumento.

En los supuestos en que el interesado invoque el ejercicio del derecho de cancelación pararevocarelconsentimientopreviamenteprestado,seestaráa lodispuestoen laLOPDyenelpresenteDocumentodeSeguridad.

Derechodeoposición

Elderechodeoposicióneselderechodelafectadoaquenoselleveacaboeltratamientodesusdatosdecarácterpersonaloseceseenelmismo.

3. Procedimientorecomendado

El ejercicio de los derechos deberá llevarse a cabo mediante comunicación dirigida alResponsable del Fichero. Dicha comunicación podrá ser remitida por correo postal a ladireccióndelResponsable.

Lamencionadacomunicacióncontendrá:

a) Nombre y apellidos del interesado; fotocopia de su documento nacional deidentidad,odesupasaporteuotrodocumentoválidoqueloidentifiquey,ensucaso,delapersonaquelorepresente,oinstrumentoselectrónicosequivalentes;así como el documento o instrumento electrónico acreditativo de tal


11

representación. La utilización de firma electrónica identificativa del afectadoeximirádelapresentacióndelasfotocopiasdelDNIodocumentoequivalente.

b) Peticiónenqueseconcretalasolicitud.c) Direcciónaefectosdenotificaciones,fechayfirmadelsolicitante.d) Documentosacreditativosdelapeticiónqueformula,ensucaso.

LaCompañíadeberá contestar la solicitudque sedirija en todo caso, con independenciadequefigurenonodatospersonalesdelafectadoensusficheros.Enelcasodequelasolicitudnoreúnalosrequisitosespecificadosenelapartadoprimero,elresponsabledelficherodeberásolicitarlasubsanacióndelosmismos.

Larespuestadeberáserconformecon losrequisitosprevistosparacadacasoenelpresentetítulo.LaCompañíadeberáadoptarlasmedidasoportunasparagarantizarquelaspersonasdesu organización que tengan acceso a datos de carácter personal puedan informar delprocedimientoaseguirporpartedelafectadoparaelejerciciodesusderechos.

Cuando las leyesaplicablesadeterminadosficherosconcretosestablezcanunprocedimientoespecialparalarectificaciónocancelacióndelosdatoscontenidosenlosmismos,seestaráalodispuestoenaquellas.


12

B.-Descripciónderecursosprotegidos:

1. Relacióndeficheros:

Concepto Descripción

NombredelFicheroCLIENTES

IdentificacióndelFichero2170180447

DescripciónyFinalidadGestióndelosdatosdelosclientesdelacompañía.

TipodeinformaciónComercialyContable.

Campos • D.N.I./N.I.F.• NombreyApellidos.• Dirección(Postal,Electrónica).• Teléfono,Fax,Personadecontacto.• DatosBancarios.

Víadeacceso • SitioWeb

Niveldeseguridad

SistemadeTratamiento

Básico

Mixto


13


NombredelFicheroFREELANCERS


DescripciónyFinalidadGestióndelosdatosdelosfreelancedelaplataformatecnológicadelacompañía


Campos • D.N.I./N.I.F.• NombreyApellidos.• Dirección(Postal,Electrónica).• Teléfono,Fax,PersonadeContacto• ActividadesyNegocios.• DatosBancarios.• Datosdeduccionesimpositivas/

impuestos.• Bienes y servicios suministrados por el

afectado.Víadeacceso • SitioWeb

• SistemasdeinformaciónNiveldeseguridad


Medio

Mixto


14


NombredelFicheroRECURSOSHUMANOS


DescripciónyFinalidadGestióndenóminasyRecursosHumanos

TipodeinformaciónLaboral

Campos • D.N.I./N.I.F.• NombreyApellidos.• NºS.S/Mutualidad• Dirección(Postal,Electrónica).• Teléfono.• Datosdelestadocivil/Datosdefamilia• Fechaylugardenacimiento• Edad,sexo,nacionalidad• Curriculumsvitae• Profesional,lugardetrabajo• HistorialdelTrabajador• Ingresosyrentas• DatosBancarios.• Datoseconómicosdenómina• Datos deducciones impositivas /

impuestos.• Bienesyserviciossuministradosporelafectado.

Víadeacceso • SitioWeb• Sistemasdeinformación

Niveldeseguridad


Básico

Mixto


15


NombredelFicheroUSUARIOSWEB


DescripciónyFinalidadGestióndelosusuarioswebdelacompañíayotraspersonasdecontacto.


Campos • D.N.I./N.I.F.• NombreyApellidos.• Dirección(Postal,Electrónica).• Teléfono,Fax,Personadecontacto.• DatosBancarios.

Víadeacceso • SitioWeb

Niveldeseguridad


Básico

Mixto


16

2. Relacióndesoportes:

Acadasoporteseleasignaráunnúmerodeidentificación.


Id.Soporte

Tipoymodelo Discos Magneto ópticos para realizar copiasdeseguridaduotrotipodesoportesutilizados.

Discos duros de los equipos detallados en elapartado3.

FechadealtaFechadealtaenelsistemadeinformación

FechadebajaFechadebajaenelsistemadeinformación

CopiaUtilizadoparacopiasSi/No

Observaciones

3. Relacióndeequipos:


IdentificaciónEquipo

MarcayModelo

SistemaOperativo

Ubicación

Usuario

NúmerodeInventario

Observaciones


17

4. Programasqueafectenalosficheros:


IdentificaciónPrograma

Descripción

Ficherosqueusa

Observaciones



Descripción

Ficherosqueusa

Observaciones



Descripción

Ficherosqueusa

Observaciones


18

5. Relacióndeusuarios:

Personalconaccesoautorizadoalosficheros:

Datosdelapersona

Puesto

IdentificadordeusuarioDNI

Recursosautorizados • Accesoalosficheros:USUARIOSYASISTENTES

PROVEEDORES

PROMOTORES

NOMINAS,PERSONALYRRHH

• Fechadealta:• Personaqueloautorizó:

Observaciones

Datosdelapersona

Puesto



PROVEEDORES

PROMOTORES



Observaciones


19

Datosdelapersona

Puesto



PROVEEDORES

PROMOTORES



Observaciones

Datosdelapersona

Puesto



PROVEEDORES

PROMOTORES



Observaciones


20

6. Encargadosdeltratamiento:

Proveedores,colaboradoresocualquierexternoconaccesoautorizadoalosficheros:

Denominaciónsocial

Personaresponsable

NIF


PROVEEDORES

PROMOTORES


Observaciones

Denominaciónsocial

Personaresponsable

NIF


PROVEEDORES

PROMOTORES


Observaciones


21

C.-Medidasencaminadasagarantizarelniveldeseguridadexigido:

MedidasadoptadasparagarantizarelniveldeseguridadBÁSICO.

1. Procedimientosdecontroldeacceso:a) Identificacióndeusuariosalsistema:

- Solicitaridentificaciónusuario- VerificarqueelUsuarioexisteenficherodeUsuarios- SinoexisteUsuario,ésteserárechazado- SiexisteUsuario,ésteseráidentificado

b) AutenticacióndeUsuariosalsistema:

Unavezidentificadounusuario,elsistemainformáticodebeestarsegurodequeelusuarioesquien dice ser. Para ello existe un sistema de contraseñas que consiste en asignar clavesprivadasalosusuarios.Estaclaveprivadaseasociaalidentificadordeusuariodetalformaqueel procedimiento de identificación de usuarios solicita al usuario su identificador y su claveprivada y tan solo le permite el acceso si estas dos le coinciden. Tanto el identificador deusuariocomolaclaveprivadasealmacenanenelficherodeusuarios.

Asílaestructuradelficherodeusuariosesdelasiguienteforma:

Campo Descripción

IdentificaciónUsuarioIdentificadordelusuario

NombreNombredelusuario

Contraseña Claveprivadadelusuario

Datos Datossignificativosdelusuario

Las contraseñas han sido asignadas, almacenadas y distribuidas de forma absolutamenteconfidencial. Se asignarán nuevas contraseñas a los usuarios periódicamente, comomínimounavezalaño.

Elprocesodeidentificaciónconautenticacióneselsiguiente:

- Solicitaridentificaciónusuarioycontraseña- VerificarqueelUsuarioexisteenficherodeUsuarios- SinoexisteUsuario,ésteserárechazado- Si existe Usuario, éste será identificado y se verificará que la contraseña sea

correcta- Silacontraseñanoescorrecta,elusuarioserárechazado- Silacontraseñaescorrecta,elusuarioseráaceptado


22

c) Controldeaccesoarecursos:

Todos los usuarios tienen acceso autorizado a todos los recursos, es decir, a toda lainformación que precisan para el desarrollo de sus funciones, salvo que se especifique locontrarioenelpresentedocumento,segúnconstaenelapartadoconcernientealarelacióndeusuarios. El responsable de seguridad controla el acceso de los usuarios autorizados a losrecursosyficheroscondatosdecarácterpersonal,impidiendoquetenganaccesoarecursosoficherosalosquenoesténautorizados.Paraelloseestableceunprocesodecontroldeaccesoque compruebaque el usuario tiene autorización a utilizar los recursos o ficheros a los quepretendeacceder. Exclusivamente el Responsable está autorizado para conceder, alterar o anular el accesoautorizado sobre los datos y los recursos, conforme a los criterios establecidos por elresponsable del Fichero. La contraseña del usuario autorizado, le permitirá accederexclusivamentea los recursosa losqueestéautorizado,denegandoelaccesoa losusuariosautorizadosquepretendanaccederarecursosoficherosparalosquenoesténautorizados.

Elesquemadefuncionamientodeprocesodecontroldeaccesoseselsiguiente:

- Solicitaridentificaciónycontraseñaalusuario.- Comprobaciónenficherodeautorizaciones- Sinoestáautorizado,Accesodenegado- Siestáautorizado,Accesopermitido

Laposibilidaddereintentarunaccesonoautorizadoestálimitadaa3intentos,despuésdeloscuáles quedará bloqueado el acceso, sólo siendo posible realizar el desbloqueo por elresponsabledelficheroolosresponsablesdeseguridad.

d) Procedimientosdeasignación,distribuciónyalmacenamientodecontraseñas:

El sistema escogido por la Compañía para controlar el acceso a los ficheros con datospersonales es a través de contraseñas o passwords. El encargado de crear y distribuir lascontraseñasseráelAdministradordelaRed.

Durantelavigenciadeunaseriedecontraseñas, laCompañía lasalmacenarádemaneraquesean ininteligibles, garantizando así la seguridad de los accesos a los ficheros con datospersonales.

Laspersonasqueparadesarrollarsusfunciones,dispongandecontraseñasparaaccederalosficheroscondatospersonales,tienenlaobligacióndecustodiarlasydenousarlasfueradesusfuncionesprofesionales.


23

Laspolíticasdegestióndecontraseñassonlassiguientes:

Identificación Procedimientodeidentificaciónyautenticación

Procedimientoseguido ProcedimientobasadoenUsuario/Contraseña

Aplicadasobre SistemaOperativo/Niveldered

Duraciónmínimadelacontraseña 6meses

Duraciónmáximadelacontraseña 6meses

Longitudmínimadelacontraseña 4caracteres

Longitudmáximadelacontraseña 8caracteres

Númerodereintentosparacontraseñafallida

4reintentos

2. Procedimientodegestióndesoportesydocumentos:

a) Etiquetasdeidentificacióndesoportes:

Lossoportesquecontienendatosdecarácterpersonaldeberánpermitiridentificareltipodeinformaciónquecontienen.Lossoportesestándebidamenteetiquetados.Lasetiquetasdeidentificacióndesoportescontienenlasiguienteinformación:


IdentificadorsoporteIdentificadordelsoporte

Identificadordeficheros Ficherosquecontieneelsoporte

Identificadordecopia Identificadordelacopia

Nºdesecuencia Secuencia que ocupa dentro del total desoportesdelacopia

Nºdesoportes Nºdesoporte

FechaFechadelaúltimacopia


24

b) Inventariodesoportes:

Los soportes están inventariados en un Inventario de soportes que contiene la siguienteinformación:


IdentificadorsoporteIdentificadordelsoporte

Tipoymodelo Tipoymodelodelsoporte

Fechadealta Fechadealtaenelsistemadeinformación

Fechadebaja Fechadebajaenelsistemadeinformación

Copia Siesonoutilizadoparacopiasdeseguridad

Observaciones

c) Relacióndeusuariosconaccesoasoportesinformáticos:

Los soportes se almacenan en un lugar de acceso restringido a usuarios autorizados y queestánincluidosenlaRelacióndeusuariosconaccesoasoportesinformáticosenlaqueconsta:


PersonaautorizadaDatospersonalesdelapersonaautorizada

Personaqueautoriza Datosdelapersonaqueautorizayfirma

Fechadealta Fechadealtadelaautorización

Fechadebaja Fechadebajadelaautorización

Observaciones

d) Documentodeautorizacióndesalida:

La salida de los soportes fuera del local donde se ubica el fichero es autorizada por elresponsabledelfichero.

Se autoriza mediante el documento de autorización de salida de soportes que contiene lasiguienteinformación:


25


IdentificadordelsoporteIdentificadordelsoporte

Personaautorizada Datosdelapersonaautorizada

Personaqueautoriza Datosdelapersonaqueautorizalasalida

Destino Destinodelsoporte

Formadeenvío Formaenlaqueseenvíaelsoporte

Fecha Fechayhoradelaautorización

Observaciones

3. Copiasderespaldoyrecuperación:

a) Garantíaderecuperación:

La seguridad de los datos personales del Fichero no sólo supone la confidencialidad de losmismossinoquetambiénconllevalaintegridadyladisponibilidaddeesosdatos.Porello,esnecesarioqueexistanunosprocesosde respaldoyde recuperaciónqueencasode fallodelsistemainformáticopermitanrecuperaryensucasoreconstruirlosdatosdelFichero.En caso de fallo del sistema con pérdida total o parcial de los datos del fichero existirá unprocedimiento, informático o manual, que partiendo de la última copia de respaldo y delregistrodelasoperacionesrealizadasdesdeelmomentodelacopia,reconstruyalosdatosdelficheroalestadoenqueseencontrabanenelmomentodelfallo.La copia de seguridad garantiza la recuperación de los datos salvados en el estado en queestabanguardadosaltiempodeproducirselapérdidaodestrucción.

b) Periodicidaddelacopiadeseguridad:

La copia de seguridad se realiza como mínimo semanalmente, y siempre que sea posiblediariamente,yempleandopararealizarlacopiavariosjuegosdiferentesdesoportesdecopias.El responsable del fichero verificará semestralmente los procedimientos de copias deseguridad.Las pruebas anteriores a la implantación o modificaciones de sistemas de información serealizaráncondatospersonalespreviacopiadeseguridad.


26

Actualmenteseutilizaelsiguientesistemadecopiasdeseguridad:Campo Descripción

Tipodesoporte

Periodicidaddelascopias

Lugardondeseconservanlascopias

Observaciones

4. Procedimientodegestióndeincidencias:a) RegistrodeIncidenciasyRecuperacióndedatos:Se considera una incidencia cualquier evento que pueda producirse esporádicamente y quepuedasuponerunpeligroparalaseguridaddelfichero,entendidabajosustresvertientesdeconfidencialidad, integridad y disponibilidad de los datos; en última instancia es cualquierincumplimiento de la normativa desarrollada en este Documento de Seguridad, así comocualquieranomalíaqueafecteopuedaafectaralaseguridaddelosdatosdecarácterpersonaldelRESPONSABLEDELFICHERO.Elmantenerunregistrodelasincidenciasquecomprometanlaseguridaddeunficheroesunaherramientaimprescindibleparalaprevencióndeposiblesataquesaesaseguridad,asícomoparalapersecucióndelosresponsablesdelosmismos.b) Procedimientoaseguirparalanotificacióndeincidencias:

Lasincidenciasseregistranenunlibrodeincidenciasquecontienelainformacióndetalladaenelcuadrosiguiente.Si la incidencia afecta a la integridad de los datos y deben realizarse procedimientos derecuperacióndelosdatosseanotaenellibrodeincidencias.Concepto DescripciónIncidenciaNº Será establecido por el Responsable de

seguridad.Fechadelanotificación FechadelanotificacióndelaincidenciaTipodeincidencia TipodeincidenciaDescripcióndetalladadelaincidencia DescripcióndelaincidenciaFechayhoraenqueseprodujolaincidencia FechayhoraenlaqueseprodujoPersonaaquiensecomunica PersonaaquienselecomunicalaincidenciaEfectosquepuedeproducir EfectosquepuedeproducirlaincidenciaRecuperacióndedatos Descripción del procedimiento realizado, los


27

datos restaurados, los datos grabadosmanualmente, la persona que ejecutó elprocesoylafirmadelResponsabledelfichero.

Personaquerealizalacomunicación Personaquecomunicalaincidencia

5. Medidasdeseguridadparaficherosnoautomatizados:Elartículo2delRealDecreto1720/2007delimitasuámbitodeaplicaciónestableciendoqueseráaplicabletambiénalosficherosnoautomatizados.Dicho Reglamento establece que estos ficheros deberán disponer de mecanismos queobstaculicensuapertura.Siporlascaracterísticasfísicasnosepudieseadoptarestamedida,elresponsable del fichero o tratamiento adoptará las medidas que impidan el acceso depersonasnoautorizadas.Mientras ladocumentacióncondatosdecarácterpersonalnoseencuentrearchivadaen losdispositivos de almacenamiento establecidos por el Reglamento, por estar en proceso derevisiónotramitación,yaseapreviooposteriorasuarchivo, lapersonaqueseencuentrealcargodelamismadeberácustodiarlaeimpedirentodomomentoquepuedaseraccedidaporpersonanoautorizada.La Compañía declara que los ficheros no automatizados con datos personales (en soportepapel), que posee están debidamente almacenados y que controla el acceso del personalinternoydelaspersonasexternasadichosficheros.

Enelcasoenquelosficherosensoportepapeldejendeserútilesparalasfinalidadesparalascualeslosdatosfueronrecogidos,laCompañíagarantizalacompletadestrucciónfísicadelosmencionados ficheros.EnelAnexoVI se recogeun listadode losarchivadores físicosdondepuedenubicarselosmencionadosdatos.

La Compañía ha establecido una serie demedidas suficientes para asegurar que los localesdonde se ubican los ficheros no automatizados estén protegidos, garantizando ladisponibilidadyconfidencialidaddelosdatosallíconsignados;aestosefectoslosmencionadoslocales disponen demedios para evitar el acceso a losmismos de personas no autorizadas,mediantelainstalacióndealarmasodepuertascerradasconllave.

En relación a los datos relacionados con antiguos usuarios, clientes o trabajadores de laCompañía,susdatosseconservaránporeltiempoquelalegislaciónaplicableestablece,enunarchivo pasivo que reunirá las mismas medidas de seguridad que las que se aplican a losarchivosactivos.

LaCompañíagarantizaquelasmedidasdeseguridadtécnicasyorganizativasestablecidasenelpresenteDocumentode Seguridadpara datos automatizados serán tambiénde aplicación alosficherosnoautomatizados,especialmenteenloquerespectaafuncionesyobligacionesdepersonal,registrodeincidencias,controldeaccesoygestióndesoportes.


28

D.-ANEXO1.-LIBROREGISTRODEINCIDENCIAS.

BEEBENCH,SL

LibroRegistrodeIncidencias

Impresodenotificacióndeincidencias:


29

IncidenciaNº:

Fechadenotificación:

Tipodeincidencia

Descripcióndetalladadelaincidencia:

Fechayhoraenqueseprodujolaincidencia:

Persona(s)quecomunicalaincidencia:

Persona(s)aquien(es)secomunica:

Efectos que puede producir: (En caso de subsanación o incluso independientemente deella)

Recuperacióndedatos:(Arellenarsólosilaincidenciaesdeestetipo)

Procedimientorealizado:

Datosrestaurados:

Datosgrabadosmanualmente:

Personaqueejecutóelproceso:


30

FirmadelResponsabledelfichero:

Fdo.

Personaquerealizalacomunicación

Fdo.


31

E.-ANEXO2.-RegistrodeficherospresentadosenlaAgenciaEspañoladeProteccióndeDatos

BEEBENCH,SL

Registrodeficherospresentadosenla

AgenciaEspañoladeProteccióndeDatos


32


33

2017 03 13 documento de seguridad beebench · por su parte el título vii del rlopd desarrolla las...

Documents