documento de seguridad encargo del tratamiento
Post on 24-Jul-2022
10 Views
Preview:
TRANSCRIPT
1 / 16
DOCUMENTO DE SEGURIDAD Encargo del tratamiento
Rev. 05 / Mar 2019
2 / 16
HISTORIAL DE MODIFICACIONES
Rev. Descripción
00 / Ene 2007 Edición inicial
01 / Oct 2009 Corrección tras auditoría LOPD
02 / Dic 2012 Corrección de cargos
03 / Oct 2015 Correcciones tras auditoría LOPD: Se incluye información sobre soportes automatizados y/o no automatizados; Se incluye historial de modificaciones; Se modifica la descripción del fichero “datos personales y de puestos de trabajo”. Se elimina el Anexo y se incorpora la información en el documento de Seguridad.
04 / Oct 2017 Se incorpora la comunicación de incidencias al Responsable de Fichero
05/ Mar 2019 Revisión y Adecuación RGPD y nueva norma LOPD 2018
Encargado del tratamiento Osarten Kooperatiba Elkartea NIF / CIF: F-20757779 Código de Actividad principal: 720 Dirección: PASEO JOSÉ MARÍA ARIZMENDIARRIETA, nº 1. Localidad: 20500 - MONDRAGÓN. GUIPUZCOA (ES) Teléfono: 943.79.00.90 Delegada de Protección de Datos : Esther Blázquez dpo@osarten.com Web: www.osarten.com
3 / 16
ÍNDICE 1. INTRODUCCIÓN ....................................................................................................................................... 4
2. OBJETO DEL DOCUMENTO .................................................................................................................... 5
3. ÁMBITO DE APLICACIÓN......................................................................................................................... 6
4. FUNCIONES Y OBLIGACIONES DEL PERSONAL ................................................................................. 8
4.1. Funciones y obligaciones del Responsable del Tratamiento ............................................................ 8
4.2. Funciones y obligaciones del Encargado del Tratamiento. .............................................................. 9
4.3. Funciones y obligaciones del Delegado de Protección de Datos ( DPD) ...................................... 10
4.4. Funciones y obligaciones de los Usuarios. ..................................................................................... 11
5. NORMAS Y PROCEDIMIENTOS DE SEGURIDAD ............................................................................... 11
5.1. Relación actualizada de usuarios con acceso autorizado .............................................................. 12
5.1.1. Notificación de altas y bajas de usuarios ................................................................................ 12
5.1.2. Notificación de variaciones del personal ................................................................................. 12
5.2. Procedimientos de control de acceso e identificación .................................................................... 12
5.2.1. Descripción de la asignación, distribución y almacenamiento de las mismas ........................ 12
5.2.2. Recomendaciones elaboradas para la configuración de contraseñas por los usuarios ......... 13
5.2.3. Bloqueos y desbloqueos de usuarios ..................................................................................... 13
5.3. Registro de incidencias ................................................................................................................... 13
5.4. Violaciones de seguridad ................................................................................................................ 14
5.5. Copias de respaldo y recuperación ................................................................................................. 14
5.6. Telecomunicaciones ........................................................................................................................ 15
6. AUDITORÍA .............................................................................................................................................. 16
7. ACTUALIZACIÓN DEL MANUAL DE SEGURIDAD ................................................................................ 16
7.1. Verificación ...................................................................................................................................... 16
7.2. Responsable de la actualización. .................................................................................................... 16
7.3. Introducción de los cambios en el Documento de Seguridad. ........................................................ 16
7.4. Aprobación del Responsable del Tratamiento ................................................................................ 16
4 / 16
1. INTRODUCCIÓN
El presente documento, han sido redactados en cumplimiento de lo dispuesto en el
Reglamento (UE) 2016/679 de Protección de Datos de carácter personal y la nueva LOPD 2018
y recoge la política de protección de datos de la empresa así como las medidas de índole
técnica y organizativa necesarias para garantizar la protección de las personas físicas en lo
que respecta al tratamiento de los datos de carácter personal.
El presente manual de protección de datos responde a la necesidad de la empresa como
responsable del tratamiento de cumplir con las obligaciones derivadas del Reglamento (UE)
2016/679 de protección de datos de carácter personal, teniendo en cuenta la infraestructura y
las circunstancias particulares de la organización.
El Responsable del Tratamiento, según el Reglamento (UE) 2016/679 de Protección de datos,
es la persona física y/o jurídica, privada o pública, que decide sobre el tratamiento de los
datos. Esta responsabilidad debe desarrollarla durante toda la "vida" del dato, es decir, desde
que este entra a formar parte del sistema de información hasta la eliminación del mismo.
Su condición de Responsable hace que está sujeto a los requerimientos establecidos en la
normativa y que, en consecuencia, tenga que observar cuantas obligaciones disponga el
Reglamento General de Protección de Datos (RGPD).
Para el cumplimiento de las obligaciones como encargado del tratamiento, al tratarse de
datos por cuenta de terceros y en virtud del art. 28 del Reglamento (UE) 2016/679 se estará a
lo dispuesto por la cláusulas contractuales que se recogen en contrato de encargo de
tratamiento.
5 / 16
2. OBJETO DEL DOCUMENTO Osarten presta diferentes servicios y pone a disposición de sus empresas asociadas y de empresas asociadas a Lagun Aro EPSV aplicaciones informáticas que incluyen datos de carácter personal. Osarten, con cada una de las empresas, de forma previa, ha firmado un contrato de encargo de tratamiento en el que se establece que la empresa es el Responsable de los ficheros y Osarten el Encargado del Tratamiento de los mismos. El presente Documento tiene por objeto recopilar la normativa y procedimientos vigentes en la Entidad, en todo lo relacionado con las medidas de seguridad y dar cumplimiento a los requerimientos exigidos por el RGPD, con el fin de informar sobre los mismos a las empresas Responsables del Tratamiento. El Documento, así como toda la documentación anexa, se encuentra bajo la custodia de la Delegada de Protección de Datos y será puesta a disposición de la Agencia Española de Protección de Datos, si fuera requerida. El documento de Seguridad estará a disposición de las empresas a través de la página web de Osarten www.osarten.com apartado Protección de Datos. El presente Manual de Seguridad responde a la obligación establecida en RGPD para garantizar la seguridad de los ficheros que contienen datos de carácter personal, los centros de tratamiento, equipos, sistemas, programas de esta Entidad y las personas que intervienen en el tratamiento de tales datos, sujetos a la normativa de Protección de Datos Personales. Al conjunto de los citados elementos o recursos se aludirá de forma indistinta como sistema de información o entorno informático de la Entidad. En el presente Manual de Seguridad se utilizará la siguiente terminología:
Fichero: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica.
Sistema de información: conjunto de ficheros, tratamientos, programas, soportes y en su caso, equipos empleados para el tratamiento de datos de carácter personal.
Sistema de tratamiento: modo en que se organiza o utiliza un sistema de información. Atendiendo
al sistema de tratamiento, los sistemas de información podrán ser automatizados, no automatizados
o parcialmente automatizados
Tratamiento: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
Usuarios que intervienen en el tratamiento de datos personales: todos los usuarios -empleados
o colaboradores- que, en el desarrollo de sus funciones tengan acceso a la información con datos
de carácter personal y tienen que cumplir con las medidas de seguridad en materia de protección
de datos.
6 / 16
3. ÁMBITO DE APLICACIÓN Los recursos comprendidos en el ámbito de aplicación son los ficheros y las aplicaciones que tienen las empresas Responsables de los tratamientos, los equipos informáticos que las soportan y los locales donde están ubicados. En este sentido, el concepto de fichero es todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica.
A continuación, se relacionan los ficheros con datos personales que se mantienen en la Entidad, con descripción del contenido, el nivel de seguridad que corresponde a cada fichero (de forma que se pueda discernir qué medidas de las contenidas en el presente Documento le son aplicables), junto con la razón de su clasificación.
Nombre fichero
Datos personales de trabajadores y puestos de trabajo
Datos de prevención y salud
Descripción del fichero
Almacena los datos personales de identificación de los trabajadores de la empresa y los datos relativos a los puestos de trabajo. (Estos datos habitualmente están incluidos en los Ficheros de Personal o RRHH)
Datos de prevención y de salud relativos a los historiales médicos de los empleados de la cooperativa, incluyendo accidentes laborales, enfermedades laborales, análisis clínicos, reconocimientos médicos, medicina asistencial, etc..
Nivel
Básico Alto
Razón de su clasificación
Contiene datos de carácter personal Contiene, entre otros, datos relativos a la salud de las personas.
Finalidad
Identificación de trabajadores y los puestos de trabajo de la empresa Gestión laboral
Vigilancia de la salud
Registro y comunicación de accidentes de trabajo y enfermedades del trabajo
Gestión y control sanitario
Investigación epidemiológica y actividades análogas
Uso
Información básica necesaria para asociar a cada persona su información en el uso en aplicaciones Informáticas. Datos no económicos de nómina
Aplicaciones Informáticas:
Empresas asociadas: Gestión de personas Puesto (WinSehtra), Gestión de la vigilancia de la salud (Historia clínica, WinMedtra), Prestación servicio de Laboratorio (Laboratorio), Gestión de Accidentes laborales (Accidentes), gestión de Enfermedades laborales (Historia clínica).
Empresas EPSV: Prestación servicio de Laboratorio (Laboratorio), Gestión de Accidentes laborales (Accidentes), gestión de Enfermedades laborales (Historia
7 / 16
Nombre fichero
Datos personales de trabajadores y puestos de trabajo
Datos de prevención y salud
clínica).Consentimientos
Datos de carácter identificativo
Nombre y Apellidos
D.N.I. / N.I.F.
N° S.S. / Mutualidad
Nombre y Apellidos
D.N.I. / N.I.F.
N° S.S. / Mutualidad
Datos de características personales
Fecha de nacimiento
Sexo
Fecha de nacimiento
Sexo
Características físicas o antropométricas
Datos especialmente protegidos
Salud
Otros datos Datos de la empresa de afiliación
Datos de la empresa de ubicación
Datos del puesto de trabajo (Solo empresas asociadas a Osarten)
Evaluación de riesgos del puesto de trabajo (Solo empresas asociadas a Osarten)
Soportes Automatizados: Aplicaciones informáticas, ficheros electrónicos
No automatizados: Formatos de comunicación en soporte papel
Automatizados: Aplicaciones informáticas, ficheros electrónicos
No automatizados: Formatos de comunicación en soporte papel
Responsable del tratamiento
Empresa asociada Empresa asociada a Lagun Aro EPSV
Empresa asociada Empresa asociada a Lagun Aro EPSV
Cesiones previstas No hay cesiones previstas en este fichero.
Análisis clínicos: Servicios de prevención ajenos (previo autorización responsable del fichero).
Transferencias internacionales
No hay. No hay
Procedencia de datos El propio interesado. El propio interesado
Personal de administración de las empresas: partes de accidentes de trabajo
Personal sanitario de las empresas: Vigilancia de la salud, medicina asitencial,
Personal sanitario de Osarten: análisis clínicos, reconocimientos de ingreso, vigilancia de la salud, medicina asistencial
Procedimiento de recogida
DNI o formularios Oralmente Formularios
Soportes utilizados para la recogida de datos
Soporte papel Soporte papel Aplicaciones informáticas
8 / 16
4. FUNCIONES Y OBLIGACIONES DEL PERSONAL
De conformidad con lo dispuesto en RGPD, las funciones y obligaciones de cada una de las
personas con acceso a los datos de carácter personal y a los sistemas de información deben
estar claramente definidas y documentadas.
El Responsable del Tratamiento adoptará las medidas necesarias para que el personal conozca
las normas de seguridad que afecten al desarrollo de sus funciones, así como las
consecuencias en que pudiera incurrir en caso de incumplimiento (MANUAL DE USUARIO PARA
LA PROTECCION DE DATOS).
Las figuras definidas para el cumplimiento de esta normativa se clasifican en las siguientes
categorías:
1. Responsable del tratamiento: la persona física o jurídica, autoridad, servicio u otro
organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si
el Derecho de la Unión o de los Estados miembros determina los fines y medios del
tratamiento, el responsable del tratamiento o los criterios específicos para su
nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros.
2. Encargado del tratamiento, que tiene básicamente las funciones de informar,
asesorar, supervisar el cumplimiento del RGPD y cooperar con la autoridad de control
Asimismo, coordina y controla las medidas de seguridad establecidas en el presente
Documento. Su designación no supone, en ningún caso, una delegación de la
responsabilidad que corresponde al Responsable del tratamiento.
3. Delegado de Protección de Datos, que tiene básicamente las funciones de informar,
asesorar, supervisar el cumplimiento del RGPD y cooperar con la autoridad de control.
Asimismo, coordina y controla las medidas de seguridad establecidas en el presente
Documento. Su designación no supone, en ningún caso, una delegación de la
responsabilidad que corresponde al Responsable del tratamiento.
4. Administrador del Sistema, que es el encargado de administrar o mantener el
entorno operativo.
5. Usuarios que intervienen en el tratamiento de datos personales: todos los
usuarios -empleados o colaboradores- que, en el desarrollo de sus funciones tengan
acceso a la información con datos de carácter personal y tienen que cumplir con las
medidas de seguridad en materia de protección de datos.
A continuación se describen las funciones y obligaciones que tienen que cumplir.
4.1. Funciones y obligaciones del Responsable del Tratamiento
El Responsable del Tratamiento, se encargará de adoptar las medidas de índole técnica y
organizativas necesarias que garanticen la seguridad de los datos de carácter personal
establecidos en el Reglamento.
9 / 16
Deberá:
Cuando hay encargo de tratamiento, entregar al ENCARGADO los datos a tratar
Realizar, cuando así proceda, una evaluación del impacto en la protección de datos
personales de las operaciones de tratamiento a realizar por el ENCARGADO.
Realizar las consultas previas que corresponda.
Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por
parte del ENCARGADO.
Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.
Derecho de información en el momento de la recogida de los datos.
Autorizar la cesión de datos
Autorizar la subcontratación del encargo del tratamiento de los datos.
Comunicar a Osarten los casos en los que debe otorgar el derecho de acceso,
rectificación, cancelación y oposición
Mantener actualizados:
o Datos de salud y enfermedades laborales: A través del servicio médico de cada
empresa (Excepto análisis clínicos que se realiza desde el Laboratorio de
Osarten)
o Datos personales y puesto de trabajo (Los datos de puestos solo empresas
asociadas a Osarten).
o Datos de accidentes laborales.
4.2. Funciones y obligaciones del Encargado del Tratamiento.
El Encargado del Tratamiento, bajo la supervisión del Responsable del Fichero, se encargará
de adoptar las medidas de índole técnica y organizativas necesarias que garanticen la
seguridad de los datos de carácter personal establecidos en el Reglamento.
Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión,
sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos
para fines propios.
Tratar los datos de acuerdo con las instrucciones de la EMPRESA. Si OSARTEN
considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición
en materia de protección de datos de la Unión o de los Estados miembros, OSARTEN
informará inmediatamente a la EMPRESA.
Llevar un registro de todas las categorías de actividades de tratamiento efectuadas por
cuenta de la EMPRESA, que contenga:
El nombre y los datos de contacto de cada responsable por cuenta del
cual actúe y, en su caso, del representante del responsable y del
delegado de protección de datos.
Las categorías de tratamientos efectuados por cuenta de cada
responsable.
En su caso, las transferencias de datos personales a un tercer país u
organización internacional, incluida la identificación de dicho tercer país u
organización internacional y, en el caso de las transferencias indicadas
en el artículo 49 apartado 1, párrafo segundo del RGPD, la
documentación de garantías adecuadas.
10 / 16
No comunicar los datos a terceras personas, salvo que cuente con la autorización
expresa de la EMPRESA, en los supuestos legalmente admisibles.
OSARTEN puede comunicar los datos a otros encargados del tratamiento
del mismo responsable, de acuerdo con las instrucciones de la EMPRESA.
En este caso, la EMPRESA identificará, de forma previa y por escrito, la
entidad a la que se deben comunicar los datos, los datos a comunicar y
las medidas de seguridad a aplicar para proceder a la comunicación.
Si OSARTEN debe transferir datos personales a un tercer país o a una
organización internacional, en virtud del Derecho de la Unión o de los
Estados miembros que le sean aplicables, informará a la EMPRESA de esa
exigencia legal de manera previa, salvo que tal Derecho lo prohíba por
razones importantes de interés público.
Mantener el deber de secreto respecto a los datos de carácter personal a los que haya
tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto.
Garantizar que las personas autorizadas para tratar datos personales se comprometan,
de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas
de seguridad correspondientes, de las que hay que informarles convenientemente.
Mantener a disposición de la EMPRESA la documentación acreditativa del cumplimiento
de la obligación establecida en el apartado anterior.
Garantizar la formación necesaria en materia de protección de datos personales de las
personas autorizadas para tratar datos personales. Dar apoyo a la EMPRESA en la
realización de las evaluaciones de impacto relativas a la protección de datos, cuando
proceda.
Dar apoyo a la EMPRESA en la realización de las consultas previas a la autoridad de
control, cuando proceda.
Poner disposición de la EMPRESA toda la información necesaria para demostrar el
cumplimiento de sus obligaciones, así como para la realización de las auditorías o las
inspecciones que realice la EMPRESA u otro auditor autorizado por él.
4.3. Funciones y obligaciones del Delegado de Protección de Datos ( DPD)
El DPD tendrá como mínimo las siguientes funciones (art 39 RGPD):
a) informar y asesorar al responsable o al encargado del tratamiento y a los empleados
que se ocupen del tratamiento de las obligaciones que les incumben en virtud de
Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados
miembros;
b) supervisar el cumplimiento de lo dispuesto en el Reglamento, de otras disposiciones de
protección de datos de la Unión o de los Estados miembros y de las políticas del
responsable o del encargado del tratamiento en materia de protección de datos personales,
incluida la asignación de responsabilidades, la concienciación y formación del personal que
participa en las operaciones de tratamiento, y las auditorías correspondientes;
c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a
la protección de datos y supervisar su aplicación de conformidad con el artículo 35 del
Reglamento;
d) cooperar con la autoridad de control;
e) actuar como punto de contacto de la autoridad de control para cuestiones relativas al
tratamiento, incluida la consulta previa a que se refiere el artículo 36 del Reglamento, y
realizar consultas, en su caso, sobre cualquier otro asunto.
11 / 16
4.4. Funciones y obligaciones de los Usuarios. .
A continuación, se expone de forma resumida, las obligaciones que deben observarse, por
parte de los usuarios, que aparecen recogidas en el Manual de Usuario (ENLACE):
Los puestos de trabajo estarán bajo la responsabilidad del usuario autorizado que
garantizará que la información que muestran no pueda ser visible por personas no
autorizadas.
Cuando se abandone un puesto de trabajo, bien temporalmente o bien al finalizar su
turno de trabajo, deberá dejarlo en un estado que impida la visualización de los datos
protegidos. Esto podrá realizarse a través de un protector de pantalla que impida la
visualización de los datos. La reanudación del trabajo implicará la desactivación de la
pantalla protectora con la introducción de la contraseña correspondiente.
En el caso de las impresoras deberá asegurarse que no quedan documentos impresos
en la bandeja de salida que contengan datos protegidos.
Cada usuario será responsable de la confidencialidad de su contraseña y, en caso de
que la misma sea conocida fortuita o fraudulentamente por personas no autorizadas,
deberá registrarlo como incidencia y proceder a su cambio.
Observar y cumplir el procedimiento de Protección de Datos, las Normas de seguridad
informática y las Funciones y Obligaciones de las personas que acceden a datos de
carácter personal protegidos por la LOPD, entre las que se destacan las siguientes
actuaciones:
o gestión de soportes (automatizados y no automatizados),
o gestión de incidencias
o uso de portátiles y dispositivos removibles
o ficheros temporales.
5. NORMAS Y PROCEDIMIENTOS DE SEGURIDAD
Osarten dispone de un Procedimiento interno para la Gestión de la Protección de Datos(
ENLACE) En dicho procedimiento se establece:
Funciones
Relaciones Responsable y Encargado de tratamiento
Consentimiento para el tratamiento de los datos y deber de información
Manual de seguridad
Autorización de acceso a los datos de carácter personal. Autorización de soportes.
Conservación de los datos
Medidas de seguridad en el tratamiento de los datos (Automatizados y no
automatizados)
Subcontratación de servicios
Procedimiento Salida / Entrada de Datos Personales
Cesión de datos
Ficheros temporales
Ejercicio de los derechos de acceso, rectificación, cancelación, supresión, limitación,
oposición al tratamiento, revocación del consentimiento, solicitud de portabilidad de los
datos.
Registro y gestión de las incidencias
12 / 16
5.1. Relación actualizada de usuarios con acceso autorizado En este apartado se describe la determinación del nivel de acceso para cada usuario, así como el procedimiento para las modificaciones de acceso y las bajas de usuarios:
5.1.1. Notificación de altas y bajas de usuarios Cuando se realiza un alta de un nuevo usuario, el Responsable de prevención de la empresa a la que pertenece rellena el formulario disponible en la web de para el alta de un nuevo usuario en el sistema de información.
a) Formatos de comunicación de recursos del Servicio de Prevención Mancomunado: www.osarten.com – SPM – Formatos de comunicación
Formularios alta Responsable de Prevención
Formulario comunicación Encargado de Prevención
Formulario de comunicación de Técnicos, Médicos o DUEs b) Formato de acceso a aplicaciones informáticas: www.osarten.com - Aplicaciones
Estos formularios debidamente completado se remite por correo electrónico a osarten@osarten.com. En este formulario se indica la persona a la que se debe dar de alta y la función que va a desarrollar. En el caso de los médicos y personal de enfermería, junto al formulario de solicitud de alta se debe incorporar fotocopia de los títulos académicos ya sea ordinario como de facultativo especialista. El Administrativo de Confor de Osarten dará de alta al usuario con el perfil definido. La aplicación lanza un documento en papel con su usuario y su contraseña (de un solo uso) que son remitidas por correo ordinario al interesado. El usuario asignado se configura comenzando siempre con las letras “lm” seguidas del código de la empresa junto con otros códigos adicionales aleatorios que se generan automáticamente. Para el acceso del propio trabajador a sus datos de salud a través de la página web de Osarten, la persona interesada rellena y presenta el formulario correspondiente y lo entrega personalmente al personal de laboratorio que le realiza la extracción de sangre. El personal de Laboratorio de Osarten, da de alta el usuario quien recibe en el correo electrónico que ha comunicado el usuario y contraseña con las indicaciones de que debe cambiar la contraseña. Osarten dispone de información a disposición de los responsables del tratamiento del Fichero del personal que accede a los datos de salud de su empresa.
5.1.2. Notificación de variaciones del personal La empresa notificará las variaciones en el personal (altas, bajas y cambios) que se produzcan, remitiendo esta información rellenando los formatos de comunicación disponibles en la web de Osarten www.osarten.com, para que se proceda a la actualización de la información de usuarios en el sistema.
5.2. Procedimientos de control de acceso e identificación La identificación y autenticación de los usuarios se realiza mediante la utilización de usuario y contraseña.
5.2.1. Descripción de la asignación, distribución y almacenamiento de las mismas La clave de acceso o palabra de paso, otorgada por el Administrativo de Confor de Osarten el momento del alta, será comunicada de manera segura al usuario (contraseña de un solo uso a través de email o se envía al usuario mediante correo ordinario).
13 / 16
Cualquier usuario que desee el cambio de contraseña o que haya olvidado su usuario o contraseña podrá solicitar al Administrativo de Confor o al Departamento de Informática de Osarten, que le genere una nueva de un solo uso. Esta clave se le enviará al correo electrónico que previamente ha aceptado como correo electrónico para el envío de comunicaciones. En el caso de que no tenga el correo electrónico confirmado, Si se ha generado desde Administrativo de Confor o desde el Departamento de Informática la nueva contraseña la recibe el Administrativo de Confor quien la transmite al usuario telefónicamente o a través de correo ordinario. Está expresamente prohibida la divulgación de la clave a otras personas, integrantes de la plantilla o ajenas a la entidad. El usuario será el responsable de todas las actividades realizadas sobre el sistema con su código de identificación, de ahí la importancia de mantener el carácter privado de la clave como forma de garantizar el carácter personal e intransferible del código. Todas las claves de usuario de acceso a los sistemas serán almacenadas cifradas. Los administradores de los sistemas crearán procedimientos, específicos para cada entorno, para la generación y cambio de contraseñas. Estos procedimientos, tras ser autorizados por la Delegada de Protección de Datos, tendrán carácter de norma.
5.2.2. Recomendaciones elaboradas para la configuración de contraseñas por los usuarios
La clave y contraseña de acceso a las aplicaciones es personal e intransferible. Queda prohibida su divulgación y se deberá modificar en el caso que se tengan indicios que la misma pueda ser conocida por terceros.
Ante cualquier problema, olvido o bloqueo de tu cuenta, se debe contactar con Administrativo de Confor o al Departamento de Informática de Osarten.
Política de contraseñas implantada.
Longitud mínima: 8 caracteres, formado por mayúsculas, minúsculas y algún número. Caducidad: 3 meses (pedirá una nueva contraseña).
Histórico: 8 contraseñas (no se podrán repetir las últimas 8).
Bloqueo del usuario: al 5º intento de acceso erróneo. Recomendaciones generales
No escribir la contraseña en ningún sitio.
Que sean fáciles de recordar.
5.2.3. Bloqueos y desbloqueos de usuarios Los bloqueos de códigos de usuarios serán efectuados de forma automática por el software de control de acceso específico de cada entorno, de acuerdo con los parámetros que se establezcan en el subsistema por el administrador del mismo.
El usuario afectado deberá ponerse personalmente en contacto con Administrativo de Confor o al Departamento de Informática de Osarten para solicitar el desbloqueo de su código.
5.3. Registro de incidencias
Una Incidencia es cualquier anomalía que afecte o pudiera afectar a la seguridad de los
datos.
14 / 16
El mantener un registro de las incidencias que comprometen la seguridad de los datos es una
herramienta imprescindible para la prevención de posibles ataques a esa seguridad, así como
la persecución de los responsables de los mismos.
A efectos orientativos, tendrán la consideración de incidencias los siguientes hechos:
Copias indebidas de datos en los puestos de trabajo.
Mal funcionamiento durante la realización de copias de seguridad.
Errores del sistema / transacciones / base de datos.
Caída del sistema.
Intento no autorizado de salida de soportes.
Cambio de ubicación física de los ficheros.
El registro de incidencias es de obligado cumplimiento para todos los que trabajan en
OSARTEN Koop. E. Afecta a la relación de Osarten con:
Sus trabajadores.
Las personas jurídicas (empresas) que demandan sus servicios.
Las personas físicas (particulares) que demandan sus servicios.
Cuando un usuario detecta una incidencia, la comunica a la Delegada de Protección de Datos
5.4. Violaciones de seguridad
Estaremos ante una violación de la seguridad cuando se produzca un evento que ocasione la
destrucción, pérdida o alteración accidental o ilícita de datos personales, cualquiera que sea la
forma de su tratamiento o la comunicación o acceso no autorizados a dichos datos.
Todo el personal de Osarten usuario de los soportes o sistemas automatizados o no, que tenga
conocimiento de hechos que hayan podido suponer una violación de seguridad que afecte a
datos personales, tiene el deber de comunicarlo a la Delegada de Protección de Datos lo antes
posible.
Esta notificación deberá recoger los aspectos más importantes de la brecha producida como son:
número de afectados, tipo de datos, las medidas de seguridad propuestas y/ o adoptadas
La DPD de Osarten debe poner en conocimiento del responsable del tratamiento los casos de violación de seguridad, los motivos y las medidas para subsanar, siendo el responsable de tratamiento quien lo comunicara a la autoridad de control y a los afectados
5.5. Copias de respaldo y recuperación
Con la finalidad de garantizar la integridad y la disponibilidad de los datos se realizan copias
de respaldo y recuperación que, en caso de fallo del sistema informático, permitan recuperar
y, en su caso reconstruir, los datos del fichero.
La política de salvaguardas es la siguiente:
15 / 16
Backups a cinta: se salva sobre el sistema de copias de Laboral Kutxa, para ello se utiliza una
caché de discos y 2 librerías de cintas. El software utilizado es NetBackup.
Base de datos:
Réplica en tiempo real sobre otra base de datos mediante Oracle data Guard. Mantiene
actualizada la BD en un host remoto (Laboral Kutxa) para en caso de desastre poder
switchear la producción a ese host.
Backup de los LOGS de bbdd cada hora con retención 5 días
Backup Full DIARIO de bbdd con retención 3 dias
Backup Full SEMANAL de bbdd con retención 1 mes (4 semanas)
Backup Full MENSUAL de bbdd con retención 3 meses
Backup Full ANUAL de bbdd con retención indefinida, en Diciembre
Ficheros:
Backup DIARIO, sólo ficheros modificados desde último Full, retención 1 semana
Backup Full SEMANAL con retención 1 mes (4 semanas)
Backup Full MENSUAL con retención 1 año
Backup Full ANUAL con retención indefinida, en Diciembre
Exchange:
Backup Full DIARIO con retención 1 semana
Backup Full SEMANAL con retención 1 mes (4 semanas)
Backup Full MENSUAL con retención 1 año
Backup Full ANUAL con retención indefinida, en Diciembre
Servidores virtuales VMware:
Backup DIARIO incremental, retención 1 semana
Backup Full SEMANAL con retención 1 mes (4 semanas)
Backup Full MENSUAL con retención 1 año
Backup Full ANUAL con retención indefinida, en Diciembre
5.6. Telecomunicaciones Como norma general, no se envían datos personales sensibles (nivel alto de seguridad), mediante correo electrónico o cualquier otro medio de transmisión electrónica. No obstante, se autorizan los siguientes envíos:
A los Servicios médicos de las empresas: datos de análisis clínicos, reconocimientos de ingreso, resultados de vigilancia de la salud u otros servicios de salud
A Servicios de prevención ajenos: datos de análisis clínicos. Si, previamente, se dispone de la autorización del Responsable del tratamiento para el envío de dichos datos.
En los casos en los que está autorizado la transmisión de información sensible mediante correo electrónico o cualquier otro medio de transmisión electrónica, esta información se enviará siempre encriptada.
16 / 16
6. AUDITORÍA
Anualmente se realizará una auditoría interna, que dictamine el correcto cumplimiento y la
adecuación de las medidas del presente Manual de Seguridad o las exigencias del RGPD y
LOPD 2018, identificando las deficiencias y proponiendo las medidas correctoras necesarias.
Los informes de auditoría serán conocidos por la Delegada de Protección de Datos, quien
propondrá al Responsable del Tratamiento las medidas correctoras correspondientes a través
de la página web de Osarten www.osarten.com.
7. ACTUALIZACIÓN DEL MANUAL DE SEGURIDAD
7.1. Verificación El Manual de Seguridad debe mantenerse en todo momento actualizado y deberá ser revisado siempre que se produzcan cambios relevantes, por ejemplo, en los sistemas de información o en la Entidad. Asimismo, el contenido del Manual deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal. La Auditoria interna constatará el nivel de cumplimiento del presente Documento, así como la veracidad y exactitud de los términos y datos contenidos y, en su caso, poder detectar anomalías y proponer su corrección. Debe observarse cualquier cambio organizativo, procedimental y/o técnico en los Sistemas de Información de la Entidad, que pudiera afectar a la estructura y/o medidas de seguridad implementadas en los ficheros que se han definido en el presente documento.
7.2. Responsable de la actualización. La Delegada de Protección de Datos será la encargada de coordinar las medidas definidas en el Documento de Seguridad y podrá realizar la actualización del Documento de Seguridad o proponer qué personas deben realizar este trabajo.
7.3. Introducción de los cambios en el Documento de Seguridad. El Manual de Seguridad se modificará siempre que se produzcan cambios significativos en:
La propia la estructura de los Tratamientos (cambio de finalidad, accesos por terceros, creación de nuevos ficheros, cambios significativos en los sistemas de información y en las aplicaciones, etc.).
Las medidas de obligado cumplimiento de la regulación de Protección de Datos.
Los cambios de organización (cambios departamentales, personal responsable, etc.).
7.4. Aprobación del Responsable del Tratamiento La realización de una nueva versión actualizada del Documento de Seguridad, requerirá la aprobación del Responsable del Tratamiento. Se le informará sobre los cambios en la organización, procedimentales y/o técnicos que afectarán a los ficheros, así como la forma en que se ha visto afectada el presente documento a través de la página web de Osarten www.osarten.com.
top related