GOBIERNO DE ESPAA

MINISTERIO DE TRABAJO E INMIGRACIN

SECRETARA DE ESTADO DE LA SEGURIDAD SOCIAL GERENCIA DE INFORMTICA DE LA SEGURIDAD SOCIAL

Aproximacin a la legislacin de Proteccin de Datos

C/ Dr. Tolosa Latour, s/n 24041 MADRID TEL: 91 390 27 18 FAX: 91 390 51 67

MINISTERIO DE TRABAJO E INMIGRACIN

Control de cambios
Descripcin Autor(es) Fecha

Versin 1.0 Versin Inicial

Centro de Calidad, Auditora y Seguridad Servicio de Polticas de Seguridad y Anlisis de Riesgos Centro de Calidad, Auditora y Seguridad Servicio de Polticas de Seguridad y Anlisis de Riesgos

24-Sept-2010

Versin 1.2 Revisin del texto

07-Sept-2010

Versin 1.3 Se han tenido en cuenta las Centro de Calidad, Auditora y Seguridad consideraciones del director del CCAS rea de Auditora y rea de Seguridad Versin 1.4 Se han actualizado los criterios Centro de Calidad, Auditora y Seguridad de inscripcin de los ficheros y se han rea de Auditora y rea de Seguridad aclarado algunos conceptos Versin 1.5 Se han generalizado las Centro de Calidad, Auditora y Seguridad referencias a los titulares de los datos rea de Auditora y rea de Seguridad

19-Oct-2010

27-Abr-2011

27-Abr-2011

SECRETARA DE ESTADO DE LA SEGURIDAD SOCIAL GERENCIA DE INFORMTICA DE LA SEGURIDAD SOCIAL

MINISTERIO DE TRABAJO E INMIGRACIN

ndice
1. 2.
2.1. 2.2. 2.3. 2.4. 2.5. 2.6.

INTRODUCCIN ................................................................................................................ 1 PRINCIPIOS GENERALES ................................................................................................ 1

La legislacin ..............................................................................................................................1 Qu son datos de carcter personal? .......................................................................................1 Concepto de Fichero ...................................................................................................................1 Niveles de Seguridad ..................................................................................................................2 Calidad de los datos ....................................................................................................................2 Documento de Seguridad ............................................................................................................3

3.
3.1. 3.2. 3.3. 3.4.

RESPONSABILIDADES..................................................................................................... 3
Responsable del fichero ..............................................................................................................3 Encargado del tratamiento ..........................................................................................................5 Responsable de Seguridad .........................................................................................................6 Usuario del fichero ......................................................................................................................6

4.
4.1. 4.2. 4.3. 4.4. 4.5. 4.6.

MEDIDAS DE SEGURIDAD ............................................................................................... 6

Control de acceso .......................................................................................................................6 Registro de incidencias ...............................................................................................................7 Registro de los accesos ..............................................................................................................7 Copias de seguridad ...................................................................................................................7 Gestin de Soportes....................................................................................................................8 Auditoras ....................................................................................................................................8

SECRETARA DE ESTADO DE LA SEGURIDAD SOCIAL GERENCIA DE INFORMTICA DE LA SEGURIDAD SOCIAL

MINISTERIO DE TRABAJO E INMIGRACIN

1. INTRODUCCIN
El presente documento es una gua breve sobre la legislacin vigente en materia de proteccin de datos. Su objetivo es mostrar los conceptos bsicos, responsabilidades y medidas que impone la LOPD y su Reglamento de desarrollo, de forma sencilla y comprensible. Debe tenerse en cuenta que se trata de un resumen de los aspectos ms importantes de la ley, y que no es exhaustivo.

2. PRINCIPIOS GENERALES
2.1. La legislacin
La legislacin de proteccin de datos de carcter personal se compone bsicamente de los siguientes textos legales: Ley Orgnica 15/1999, de 13 de diciembre, de proteccin de datos de carcter personal (en adelante LOPD). Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el reglamento de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre, de proteccin de datos de carcter personal. Su objetivo principal es garantizar y proteger el derecho al honor e intimidad personal y familiar de los titulares de los datos. En estos textos se establecen una serie de requisitos que deben cumplir todas las organizaciones, ya sean pblicas o privadas, en los tratamientos de datos que realicen en el mbito de sus funciones, de forma que se garantice este objetivo.

2.2. Qu son datos de carcter personal?

Es cualquier informacin numrica, alfabtica, fotogrfica, acstica, o de cualquier otro tipo que permita identificar, directa o indirectamente, a una persona fsica. Por ejemplo, se consideran datos de carcter personal el nombre, los apellidos, la fecha de nacimiento, la direccin postal o la direccin de correo electrnico, el nmero de telfono, el nmero de identificacin fiscal, el nmero de matrcula del coche, la huella digital, el ADN, una fotografa o el nmero de afiliacin a la Seguridad Social. La Seguridad Social, en el ejercicio de las funciones que tiene encomendadas, trata con multitud de datos personales y por tanto debe atenerse a lo establecido en la legislacin para garantizar su proteccin.

2.3. Concepto de Fichero

Un fichero es cualquier conjunto organizado de datos de carcter personal que permita el acceso a los mismos con arreglo a criterios determinados, y que son almacenados y tratados con una finalidad comn. Todos los ficheros con datos de carcter personal que se utilicen en la Seguridad Social deben estar declarados en un registro de la Agencia Espaola de Proteccin de Datos, llamado Registro General de Proteccin de Datos. El encargado de su inscripcin ser el rgano Directivo responsable de los datos.
SECRETARA DE ESTADO DE LA SEGURIDAD SOCIAL GERENCIA DE INFORMTICA DE LA SEGURIDAD SOCIAL

Pgina 1 de 10

MINISTERIO DE TRABAJO E INMIGRACIN

El criterio general para definir un fichero es la finalidad para la que se recogen y utilizan los datos. Por ejemplo, pueden mantenerse varias tablas y bases de datos con datos personales recogidos para una gestin de nminas. En este caso, sera necesario declarar un nico fichero con la finalidad de la gestin de nminas, independientemente del nmero de tablas o bases de datos que lo soportan. Hay dos tipos de ficheros, dependiendo del modo en que se acceda a sus datos: Ficheros automatizados: aqullos que permiten acceder a su contenido mediante procedimientos de bsqueda informatizados. Se encuentran dentro de esta categora las bases de datos, hojas de clculo y otros repositorios que residen en medios informticos como servidores, discos duros, soportes pticos, etc. Ficheros no automatizados: aqullos que deben ser accedidos de forma manual. El ejemplo ms claro son los expedientes administrativos en papel que se guardan en carpetas y archivadores. Es posible tener ficheros cuyo tratamiento se realice tanto de forma automatizada como no automatizada. En estos casos, se habla de ficheros parciamente automatizados, o simplemente mixtos.

2.4. Niveles de Seguridad

La LOPD establece tres niveles de medidas de seguridad con medidas de seguridad asociadas, dependiendo de la sensibilidad de los datos: bsico, medio y alto. 1. Medidas de seguridad de nivel bsico: son aqullas que deben implantarse en todos los ficheros que manejen cualquier dato de carcter personal. 2. Medidas de seguridad de nivel medio: son aqullas que, adems de las de nivel bsico, deben implantarse en los siguientes ficheros: Los relativos a la comisin de infracciones administrativas o penales. Aqullos de los que sean responsables los rganos Directivos de la Seguridad Social, y se relacionen con el ejercicio de sus funciones. Aqullos que contengan un conjunto de datos que ofrezcan una definicin de las caractersticas o de la personalidad de los titulares de los datos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos. 3. Medidas de seguridad de nivel alto: son aqullas que, adems de las de nivel bsico y medio, deben implantarse en los siguientes ficheros: Los que se refieren a datos de ideologa, afiliacin sindical, religin, creencias, origen racial, salud o vida sexual. Los que se contengan datos recabados para fines policiales sin consentimiento de los afectados. Los que contengan datos derivados de actos de violencia de gnero.

2.5. Calidad de los datos

Los datos de carcter personal slo se podrn recoger y tratar cuando sean adecuados, pertinentes y no excesivos en relacin con el mbito y la finalidad para los que son recogidos por parte de la Seguridad Social, y no podrn usarse para finalidades incompatibles con sta. Deben ser exactos y puestos al da conforme sea necesario, de forma que reflejen la situacin actual del afectado.

SECRETARA DE ESTADO DE LA SEGURIDAD SOCIAL GERENCIA DE INFORMTICA DE LA SEGURIDAD SOCIAL

Pgina 2 de 10

MINISTERIO DE TRABAJO E INMIGRACIN

Adems, deben ser cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recogidos.

2.6. Documento de Seguridad

Todos los ficheros de carcter personal deben contar con un Documento de Seguridad que recoja las medidas de ndole tcnica y organizativa que sern de obligado cumplimiento para el personal con acceso a los sistemas de informacin. Puede elaborarse un documento independiente por cada fichero, o uno que comprenda varios agrupados segn el criterio que el responsable determine: por sistema de informacin, por nivel de seguridad, etc. El Documento de Seguridad debe contener como mnimo los siguientes puntos: Descripcin de la estructura de los ficheros y de los sistemas de informacin donde se encuentran. Medidas de seguridad que se aplican sobre cada fichero para garantizar el cumplimiento de los requisitos establecidos por el RD 1720. Responsabilidades sobre los datos de los ficheros: Debe reflejar quin asume el papel de responsable del fichero, responsable de seguridad, encargado del tratamiento, etc., as como sus obligaciones. Asimismo debe incluir las delegaciones de responsabilidades sobre otras personas o cargos, cuando existan.

3. RESPONSABILIDADES
La LOPD establece varios actores en el tratamiento de los datos de carcter personal: Responsable del fichero: Persona fsica o jurdica, de naturaleza pblica o privada, u rgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento de los datos. En el caso de la Seguridad Social, este papel lo desempean los rganos Directivos de la misma. Encargado del tratamiento: La persona fsica o jurdica, pblica o privada, u rgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del fichero. Estos encargados pueden ser empresas externas, organismos pblicos, personas, etc. que presten algn servicio a los rganos Directivos de la Seguridad Social y que requieran para ello acceso a los datos personales o a los sistemas que los tratan. Responsable de seguridad: Es aquella persona designada por el Responsable del fichero, encargada de coordinar y controlar las medidas de seguridad que exige el RD 1720/2007. Esta designacin puede ser nica para todos los ficheros o tratamientos de datos de carcter personal o diferenciado segn los sistemas de tratamiento utilizados. Usuario del fichero: sujeto o proceso autorizado para acceder a los datos de carcter personal.

3.1. Responsable del fichero

En la Seguridad Social, la figura del responsable recae en los directores, subdirectores generales y directores provinciales de los rganos Directivos, y as se refleja cuando se realiza la inscripcin en la Agencia Espaola de Proteccin de Datos. Las siguientes tareas son de su responsabilidad:
SECRETARA DE ESTADO DE LA SEGURIDAD SOCIAL GERENCIA DE INFORMTICA DE LA SEGURIDAD SOCIAL

Pgina 3 de 10

MINISTERIO DE TRABAJO E INMIGRACIN

Inscripcin de ficheros en la Agencia de Proteccin de Datos Solicitar el alta, baja y modificacin de los ficheros de carcter personal en la Agencia a travs de la Subdireccin de Planificacin y Coordinacin Informtica del MTIN. Antes de proceder a hacer una inscripcin nueva, el responsable del fichero debe comprobar si se puede asociar a algn fichero ya declarado. Para ello, deben cumplirse estas condiciones: 1. La finalidad del nuevo tratamiento tiene que estar recogida en la del fichero ya declarado. Por ejemplo, si se quieren gestionar cursos de formacin para funcionarios en una direccin provincial, su finalidad podra englobarse en un fichero ya declarado con la finalidad de "gestin de personal" de los servicios centrales. 2. El responsable del fichero ya declarado debe ser consciente del nuevo tratamiento, pues asumir la responsabilidad de la seguridad de sus datos. Para ello el solicitante debe informarle y aqul decidir si acepta este escenario. Siguiendo el ejemplo, el responsable en los servicios centrales asumira la responsabilidad de los datos y de la seguridad de los tratamientos provinciales. La direccin provincial tendra tambin que avisar a la GISS, porque ella se ocupa del tratamiento y la seguridad de los datos del fichero ya declarado. Si se cumplen las dos condiciones, no es necesario inscribir un nuevo fichero, aunque estas nuevas circunstancias s que deben reflejarse en el documento de seguridad del fichero, pues dicho documento describe los sistemas de informacin y las medidas de proteccin. Si no se cumplen las condiciones anteriores, el responsable provincial debe proceder a dar de alta un fichero nuevo, y adoptar las medidas de proteccin, en especial elaborar el documento de seguridad correspondiente. Los tratamientos que resulten de la extraccin de datos procedentes de ficheros centrales y den como resultado datos que no son permanentes (se borran al cabo de un tiempo determinado) no requieren inscripcin. Nombrar al Responsable de Seguridad. El responsable del fichero debe designar a la persona o cargo que se encargar de supervisar y coordinar la implantacin de las medidas de seguridad. En general, esta responsabilidad recaer sobre un perfil informtico y debera ser asumida por alguien que tenga conocimiento y control sobre los sistemas informticos donde residen los datos. Para ficheros que residen en servicios centrales, el responsable de seguridad puede ser el director del CCAS (Centro de Calidad, Auditora y Seguridad) o bien el director del centro de desarrollo correspondiente de la GISS. Para ficheros que residen en entornos provinciales, podra ser la Unidad Provincial de Informtica (UPI). Para ficheros que residan en redes de rea local o PCs y queden fuera del control de la GISS, la figura del responsable deber recaer en personal de la propia administracin que cre el fichero y trata directamente sus datos. Formacin y concienciacin del personal

SECRETARA DE ESTADO DE LA SEGURIDAD SOCIAL GERENCIA DE INFORMTICA DE LA SEGURIDAD SOCIAL

Pgina 4 de 10

MINISTERIO DE TRABAJO E INMIGRACIN

El responsable del fichero debe garantizar que todos los usuarios que tienen acceso a los datos de carcter personal son conscientes de sus funciones y obligaciones respecto a los datos accedidos. Para ello puede llevar a cabo labores de formacin especfica, como cursos o charlas, y de divulgacin, como publicacin de boletines, manuales, guas, etc. para que estn a disposicin del personal. En concreto deber garantizar que el Documento de Seguridad de sus ficheros est accesible para todos los usuarios con acceso a datos personales. La GISS pondr a disposicin de los rganos Directivos de la Seguridad Social un curso de formacin de la LOPD en formato de e-Learning, proporcionando la documentacin y el material necesario para que aqullas se encarguen de su imparticin a sus usuarios. Velar por el cumplimiento de las medidas de seguridad del RD 1720/2007 El RD 1720/2007 impone una serie de medidas tcnicas y organizativas que deben implantarse sobre los ficheros de datos de carcter personal. Desde el punto de vista legal, el responsable del fichero es el ltimo responsable de la implantacin de las mismas, si bien, puede delegar la implantacin de las medidas informticas en otros departamentos, como por ejemplo la GISS. No obstante, en el caso de ficheros no automatizados (documentos en papel, etc.) es el propio responsable administrativo quien debe garantizar el cumplimiento de las medidas impuestas por la legislacin. Auditora de cumplimiento Para ficheros con nivel de seguridad medio o alto, el responsable del fichero debe realizar, al menos cada dos aos, una auditora que verifique el cumplimiento de las medidas de seguridad sealadas en el punto anterior. Asimismo, debe adoptar las medidas correctoras adecuadas que se deriven de la misma. Derechos ARCO El Responsable del fichero debe poner en funcionamiento unos procedimientos sencillos y rpidos que permitan a los titulares de los datos ejercer los derechos de Acceso, Rectificacin, Cancelacin y Oposicin sobre sus datos personales tratados por la Seguridad Social.

3.2. Encargado del tratamiento

El encargado de tratamiento debe cumplir las siguientes obligaciones respecto a los datos a los que tenga acceso para la prestacin del servicio al responsable: No divulgar ni destinar los datos a otra finalidad, comunicarlos a terceras personas o utilizarlos incumpliendo las estipulaciones establecidas en el contrato de prestacin de servicios. No subcontratar el servicio con otros terceros, a menos que cuente para ello con la autorizacin del responsable del fichero. Una vez cumplida la prestacin de servicios pactada, y cuando ya no sean necesarios, devolver todos los soportes con datos de carcter personal al responsable o bien destruirlos, conforme haya indicado ste. En ningn caso conservar copia de los datos.

SECRETARA DE ESTADO DE LA SEGURIDAD SOCIAL GERENCIA DE INFORMTICA DE LA SEGURIDAD SOCIAL

Pgina 5 de 10

MINISTERIO DE TRABAJO E INMIGRACIN

Adoptar las medidas de seguridad tcnicas y organizativas necesarias para garantizar la seguridad de los datos, conforme al nivel de seguridad correspondiente, en el caso de que el tratamiento se realice en los locales del encargado.

3.3. Responsable de Seguridad

El responsable de seguridad designado por el responsable del fichero, tendr las siguientes responsabilidades: Coordinar la puesta en marcha de las medidas de seguridad exigidas en la legislacin y cooperar con el responsable del fichero controlando el cumplimiento de las mismas. Colaborar con el responsable del fichero en la elaboracin y actualizacin del Documento de Seguridad del fichero.

3.4. Usuario del fichero

Todo usuario que acceda a datos de carcter personal debe asumir una serie de responsabilidades: Guardar el secreto profesional sobre los datos de carcter personal a los que tenga acceso, evitando su difusin, alteracin o prdida de forma accidental o intencionada. Comunicar de forma diligente, mediante los canales y procedimientos establecidos al efecto, cualquier incidente que pueda afectar a la seguridad de los datos de carcter personal que maneja. Utilizar el puesto de trabajo habitual de forma adecuada, para los fines relacionados con sus funciones de trabajo, evitando otros usos que puedan ocasionar daos en el propio equipo o en los datos que maneja. Custodiar los elementos de identificacin y autenticacin que le son proporcionados para el acceso a los sistemas informticos (contraseas, tarjetas, claves privadas de certificados, etc.) de forma que no puedan ser conocidos ni utilizados por personal ajeno.

4. MEDIDAS DE SEGURIDAD
El RD 1720/2007 establece las medidas de seguridad que deben implantarse en los ficheros de datos de carcter personal, dependiendo de su nivel. En el Anexo A se presenta un cuadro resumen. A continuacin se explican brevemente las ms importantes.

4.1. Control de acceso

Para todos los ficheros de carcter personal, automatizados o no, debe establecerse un control de acceso que permita identificar a los usuarios que acceden y autorizar el acceso nicamente a los recursos que necesiten para su trabajo. El responsable del fichero, o aqul en quien designe esta tarea (por ejemplo, el responsable de Seguridad) debe mantener un listado actualizado de usuarios con acceso a los ficheros de carcter personal. En general, para ficheros que residen en los servicios centrales, este control de acceso est gestionado por el sistema SILCON. Para ficheros no controlados por la GISS, el responsable debe implantar un mecanismo similar. En el caso de ficheros no automatizados, este control puede establecerse mediante archivadores o armarios cerrados con llave.
SECRETARA DE ESTADO DE LA SEGURIDAD SOCIAL GERENCIA DE INFORMTICA DE LA SEGURIDAD SOCIAL

Pgina 6 de 10

MINISTERIO DE TRABAJO E INMIGRACIN

Adems, si se tratan datos de nivel medio o alto, debe implantarse un sistema de acceso fsico a los locales donde se encuentren los sistemas que almacenan los datos.

4.2. Registro de incidencias

Debe mantenerse un registro de incidencias que permita almacenar aqullas que afecten a la seguridad de los datos de carcter personal (por ejemplo, prdida accidental, accesos no autorizados a informacin, etc.). Este registro contendr la fecha y hora de deteccin, tipo de incidencia, persona que la notifica, efectos derivados y medidas correctoras tomadas para su resolucin. El CCAS puede ser el encargado de mantener este registro, al cual se le debe informar, a travs de la herramienta Remedy, siguiendo los procedimientos establecidos por la GISS para la recogida y resolucin de incidencias.

4.3. Registro de los accesos

Es obligatorio para ficheros de nivel alto. Debe establecerse un mecanismo para registrar los accesos que realizan los usuarios a los datos. Este registro contendr, al menos, la fecha y hora del acceso, el usuario, el fichero accedido y si dicho acceso fue autorizado o denegado. Los datos registrados se mantendrn al menos durante 2 aos. Adems, debe ser revisado al menos una vez al mes por el responsable de seguridad, si bien esta tarea puede ser asumida por el responsable del fichero o personal dependiente, puesto que stos conocen mejor las autorizaciones especficas que tienen sus usuarios. Este registro se mantiene para todos los ficheros que residen en servidores centrales de la GISS, y sta proporciona mecanismos y herramientas para realizar la revisin de los accesos en dichos ficheros. Para otros ficheros, el responsable debe asegurarse de que exista un mecanismo anlogo cuando sea necesario. En el caso de ficheros no automatizados (como los expedientes en papel) tambin es necesario mantener un control de los usuarios que acceden al mismo. Por ejemplo, puede apuntarse en un formulario cada vez que se solicite sacar un expediente del archivo.

4.4. Copias de seguridad

Este punto slo es aplicable a los ficheros automatizados. Debe disponerse de procedimientos para la realizacin y recuperacin de copias de seguridad de los ficheros. La realizacin de las copias ser, al menos, semanal, y debe comprobarse, al menos cada seis meses, que los procedimientos de copia y recuperacin funcionan correctamente. En el caso de ficheros de nivel medio, cuando se recuperen datos debe anotarse en el registro de incidencias anterior, el procedimiento utilizado, quin lo ejecuta y qu datos han sido restaurados y cules lo han sido manualmente. Esta recuperacin debe estar autorizada por el responsable del fichero, mediante una autorizacin puntual, o una autorizacin permanente indicada en el Documento de Seguridad.

SECRETARA DE ESTADO DE LA SEGURIDAD SOCIAL GERENCIA DE INFORMTICA DE LA SEGURIDAD SOCIAL

Pgina 7 de 10

MINISTERIO DE TRABAJO E INMIGRACIN

4.5. Gestin de Soportes

4.5.1. Inventario

Para todos los ficheros, independientemente de su sistema de tratamiento, debe mantenerse un inventario de los soportes con datos personales que se utilicen (CDs, DVDs, pendrives, carpetas, expedientes, etc.) para lo cual se etiquetarn los soportes y se almacenarn en un lugar con acceso restringido. Cuando sean ficheros de nivel alto y automatizado, este etiquetado debe ser ininteligible para personal no autorizado.

4.5.2.

Distribucin

Cuando se enven soportes fuera de las instalaciones, el responsable debe autorizar la salida del mismo. Esta autorizacin puede reflejarse de forma permanente en el Documento de Seguridad, y el encargado debe tomar medidas para evitar el acceso no autorizado durante su transporte. Para ficheros de nivel medio automatizados, debe mantenerse adems un registro de entrada y salida donde se haga constar el soporte que se enva/recibe, fecha, emisor o destinatario, tipo de informacin, forma de envo y responsable autorizado para recepcin/entrega. Si los datos son de nivel alto, los soportes que salgan de las oficinas deben cifrarse. Tambin se utilizar cifrado en los dispositivos porttiles (cuando se encuentren fuera de las instalaciones) y en comunicaciones a travs de redes pblicas.

4.6. Auditoras
Para ficheros de nivel medio y alto, independientemente del sistema de tratamiento, debe realizarse una auditora cada dos aos que verifique el cumplimiento de las medidas de seguridad que son de aplicacin. El resultado de la auditora ser comunicado al responsable del fichero para que tome las medidas correctoras necesarias. Segn la legislacin, el responsable del fichero es quien debe impulsar esta auditora. Con el objetivo de aprovechar esfuerzos en un nico proyecto, ha sido la GISS, como servicio comn, quien ha realizado hasta ahora esta labor en el mbito de los Servicios Centrales de la Seguridad Social

SECRETARA DE ESTADO DE LA SEGURIDAD SOCIAL GERENCIA DE INFORMTICA DE LA SEGURIDAD SOCIAL

Pgina 8 de 10

MINISTERIO DE TRABAJO E INMIGRACIN

ANEXO A: RESUMEN DE MEDIDAS DE SEGURIDAD

A continuacin se especifica un resumen de las medidas contenidas en el RD 1720/2007:

NIVEL BSICO NIVEL MEDIO NIVEL ALTO

El responsable del fichero tiene que designar a uno o varios responsables de seguridad (no es una delegacin de responsabilidad). El responsable de seguridad es el encargado de coordinar y controlar las medidas del documento. Funciones y obligaciones de los diferentes usuarios o de los perfiles de usuarios claramente definidas y documentadas. Definicin de las funciones de control y las autorizaciones delegadas por el responsable. Difusin entre el personal, de las normas que les afecten y de las consecuencias por su incumplimiento.
SOLO FICHEROS AUTOMATIZADOS

RESPONSABLE DE SEGURIDAD

PERSONAL

INCIDENCIAS

Registro de incidencias: tipo, momento de su deteccin, persona que la notifica, efectos y medidas correctoras. Procedimiento de notificacin y gestin de las incidencias.

Anotar los procedimientos de recuperacin, persona que lo ejecuta, datos restaurados, y en su caso, datos grabados manualmente. Autorizacin del responsable del fichero para la recuperacin de datos.
SOLO FICHEROS AUTOMATIZADOS

CONTROL DE ACCESO

Relacin actualizada de usuarios y accesos autorizados. Control de accesos permitidos a cada usuario segn las funciones asignadas. Mecanismos que eviten el acceso a datos o recursos con derechos distintos de los autorizados. Concesin de permisos de acceso slo por personal autorizado. Mismas condiciones para personal ajeno con acceso a los recursos de datos.
SOLO FICHEROS AUTOMATIZADOS

Registro de accesos: usuario, hora, fichero, tipo de acceso, autorizado o denegado. Revisin mensual del registro por el responsable de seguridad. Conservacin 2 aos. No es necesario este registro si el responsable del fichero es una persona fsica y es el nico usuario.
SOLO FICHEROS NO AUTOMATIZADOS SOLO FICHEROS AUTOMATIZADOS

Control de acceso fsico a los locales donde se encuentren ubicados los sistemas de informacin.

Control de accesos autorizados. Identificacin accesos para documentos accesibles por mltiples usuarios.

Identificacin personalizada. de contraseas.

Almacenamiento
IDENTIFICACIN Y AUTENTICACIN

autenticacin

Procedimiento de asignacin y distribucin ininteligible de

las
SOLO FICHEROS AUTOMATIZADOS

contraseas.
Periodicidad del cambio de contraseas

(<1 ao).

Limite de intentos reiterados de acceso no autorizado

SECRETARA DE ESTADO DE LA SEGURIDAD SOCIAL GERENCIA DE INFORMTICA DE LA SEGURIDAD SOCIAL

Pgina 9 de 10

MINISTERIO DE TRABAJO E INMIGRACIN

GESTIN DE SOPORTES

Inventario de soportes. Identificacin del tipo de informacin que contienen. Acceso restringido al lugar de almacenamiento. Autorizacin a las salidas de los soportes (incluidas a travs de email). Medidas para el transporte y el desecho de soportes. I d e Copia de respaldo semanal. Procedimientos de generacin de n copias de respaldo y recuperacin de t i datos. Verificacin semestral de los f procedimientos. i Reconstruccin de los datos a partir c de la ltima copia. Grabacin manual a en su caso, si existe documentacin que c lo permita. i Pruebas con datos reales. Copia de seguridad y aplicacin del nivel n de seguridad correspondiente. d SOLO FICHEROS NO AUTOMATIZADOS e El archivo de los documentos debe l realizarse segn criterios que faciliten su consulta y localizacin para t garantizar el ejercicio de los derechos i de Acceso, Rectificacin, Cancelacin p y Oposicin (ARCO). o
SOLO FICHEROS AUTOMATIZADOS SOLO FICHEROS NO AUTOMATIZADOS

SOLO FICHEROS AUTOMATIZADOS SOLO FICHEROS AUTOMATIZADOS

Registro de entrada y salida de soportes:

documento o emisor/destinatario, soporte, fecha, nmero, tipo de

informacin, forma de responsable autorizado recepcin/entrega.

envo, para

Sistema de etiquetado confidencial. Cifrado de datos en la distribucin de soportes. Cifrado de informacin en dispositivos porttiles fuera de las instalaciones (evitar el uso de dispositivos que no permitan cifrado, o adoptar medidas alternativas).
f e c h a , e m i s o r SOLO FICHEROS AUTOMATIZADOS / Copia de respaldo y procedimientos d de recuperacin en lugar diferente dele que s se encuentren los equipos t i n a t a r i o ,
SOLO FICHEROS NO AUTOMATIZADOS

COPIAS DE RESPALDO

CRITERIOS DE ARCHIVO

ALMACENAMIENTO

CUSTODIA SOPORTES

almacenamiento d dotados de mecanismos que obstaculicen e su apertura. i n SOLO FICHEROS NO AUTOMATIZADOS f Durante la revisin o tramitacin de los documentos, la persona a cargo de los o mismos debe ser diligente y custodiarla para r evitar accesos no autorizados. m a Dispositivos de
S O L O F I C H E R O S A U T O M A T I Z A D O S

n Armarios, archivadores de documentos en reas con acceso protegido mediante puertas con llave. m e -

COPIA O REPRODUCCIN

AUDITORIA

Al menos cada dos aos, interna o externa. Debe realizarse ante modificaciones sustanciales en los sistemas de informacin con repercusiones en seguridad. Verificacin y control de la adecuacin de las medidas. Informe de deteccin de deficiencias y propuestas correctoras. Anlisis del responsable de seguridad y conclusiones elevadas al responsable del fichero.

I d e n t i f i c a c i n

TELECOMUNICACIONES

TRASLADO DOCUMENTACIN

c i n q u e c Pgina 10 de 10 o n t

I d e n SOLO FICHEROS NO AUTOMATIZADOS Slo puede realizarse por los usuarios t autorizados. i Destruccin de copias desechadas f i c a c i n d I d e e l l n t t t i i i p f p o i SOLO FICHEROS AUTOMATIZADOS o c Transmisin de datos a travs de redes a d electrnicas cifradas. d e c e i iSOLO FICHEROS NO AUTOMATIZADOS Medidas que impidan el acceso o i n n n fmanipulacin f o d o r e r m l SECRETARA DE ESTADO DE LA SEGURIDAD SOCIAL m a a t GERENCIA i DE INFORMTICA DE LA SEGURIDAD SOCIAL S p O S o L O
O L