Reglamento

PROTECCIÓN DATOS VALENCIA

Reglamento

Niveles de Seguridad

Nivel Básico

Todos los ficheros tratamiento de Datos de Carácter Personal deberán adoptar medidas de seguridad calificadas de nivel básico.

Nivel Medio

Deberán implantarse, además de las medidas de seguridad de nivel básico, las medidas de nivel medio, en los siguientes ficheros o tratamientos de datos de carácter personal:

  • Los relativos a la comisión de infracciones administrativas o penales.
  • Aquellos cuyo funcionamiento se rija por el articulo 29 de la Ley Orgánica de Protección de Datos de Carácter Personal, o sea sobre la prestación de servicios de información sobre solvencia patrimonial y crédito.
  • Aquellos de los que sean responsables Administraciones Tributarias y se relacionen en el ejercicio de sus potestades tributarias.
  • Aquellos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros.
  • Aquellos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen en el ejercicio de sus competencias. De igual modo, aquellos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades de la Seguridad Social.
  • Aquellos que contengan un conjunto de datos de carácter personal que ofrezca una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.

Nivel Alto

Además de las medidas de nivel básico y medio, las medidas de nivel alto se aplicaran en los siguientes ficheros a tratamientos de datos de carecer personal:

      • Los que se refieren a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.
      • Los que se contengan o se refieran a datos recabados para fines policiales sin consentimiento a las personas afectadas.
      • Aquellos que contengan datos derivados de actos de violencia de género.

 

Medidas de seguridad | Ficheros automatizados

Nivel Básico

      • Documento de seguridad. Es un documento de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal donde el responsable del fichero elaborará e implantará la normativa de seguridad. Se elaboraran y adoptaran las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos de carácter personal.

        El documento deberá de contener, como mínimo, los siguientes aspectos:
        · Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.
        · Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este Reglamento.
        · Funciones y obligaciones del personal en relación con el tratamiento de datos de carácter personal incluidos en los ficheros.
        · Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.
        · Procedimiento de notificación, gestión y respuesta ante incidencias.
        · Los procedimientos de realización de copias de respaldo y recuperación de datos en los tratamientos automatizados.
        · Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, reutilización de los mismos.
      • Personal:
        · Funciones y obligaciones claramente definidas y documentadas.
        · Funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento.
        · Difusión entre el personal, de las normas que les afecten y de las consecuencias por incumplirlas.
      • Incidencias:
        · Procedimiento de  notificación y gestión de incidencias, así como establecer un registro en el que conste el tipo de incidencia, momento en que se ha producido, persona que la notifica, persona a la que se comunica, efectos derivados y medidas correctoras.
      • Identificación y autentificación:
        · Procedimientos de identificación y autentificación que se establecerá de forma inequívoca y personalizada a cada usuario.
        · Procedimiento de asignación, distribución y almacenamiento de contraseñas
        · Periodicidad de las contraseñas no podrán superar el año.
        · Almacenamiento ininteligible de contraseñas activas.
      • Control de acceso:
        · Cada usuario accederá únicamente a los datos y recursos necesarios para el desarrollo de sus funciones.
        · Relación actualizada de usuarios y perfiles de usuarios, y los accesos autorizados
        · Mecanismos que eviten el acceso a datos o recursos con derechos distintos a los autorizados.
        · Concesión de permisos de acceso solo por personal autorizado.
        · El personal ajeno estará sometido a las mismas condiciones y obligaciones que el personal propio.
      • Gestión de soportes:
        · Identificar el tipo de información que contienen los soportes.
        · Inventario de los soportes.
        · Solamente accesibles por el personal autorizado.
        · Salida de soportes autorizadas por el responsable del fichero.
        · En el traslado de la documentación se adoptaran medidas para evitar la sustracción, pérdida o acceso indebido.
        · Al desechar cualquier soporte o documento deberá procederse a su destrucción o borrado.
      • Copias de respaldo:
        · Verificar la definición y aplicación de los procedimientos de copias y recuperación.
        · Garantizar la reconstrucción de los datos en el estado en se encontraban en el momento de producirse la pérdida o destrucción.
        · Copia de respaldo, al menos semanal.
        · Verificar cada seis meses la correcta definición, funcionamiento y aplicación de los procedimientos de copias de seguridad y recuperación de datos.
        · Las pruebas no se realizan con datos reales, salvo que se asegure el nivel de seguridad correspondiente.
        · Al realizarse pruebas con datos reales, previamente debe de realizarse una copia de respaldo.

Nivel Medio

Las medidas de seguridad del nivel medio son las medidas establecidas en las medidas de seguridad de nivel bajo más las establecidas a continuación:

    • Documento de seguridad:
      · Identificación del responsable de seguridad.
      · Control periódico del cumplimiento del documento.
      · Medidas a adoptar en caso de reutilización o desechos de soportes.
    • Incidencias:
      · Registrar realización de procedimientos de recuperación de los datos, persona que lo ejecuta, datos restaurados y grabados manualmente.
      · Autorización por escrito del responsable del fichero para la recuperación de datos.
    • Identificación y autentificación:
      · Límite de intentos reiterados de acceso no autorizado.
    • Control de acceso físico:
      · Control de acceso físico por el personal autorizado a los locales donde se encuentren ubicados los sistemas de información.
    • Gestión de soportes:
      · Registro de entrada y salida de soportes que permita conocer el tipo de documento o soporte, al fecha y la hora, el emisor o destinatario, el numero de documentos o soportes incluidos en el envió, el tipo de información que contiene, la forma de envió y la persona responsable del envió o recepción que deberá estar autorizada.
    • Responsable de Seguridad:
      · Uno o varios nombrados por el responsable del fichero.
      · Encargado de coordinar y controlar las medidas del documento.
      · No supone delegación de responsabilidad del responsable del fichero.
      · La designación puede ser única para todos los ficheros  o tratamientos o diferenciada según los sistemas de tratamientos utilizados.
    • Auditoría:
      · Bianual, interna o externa, aunque podrá realizarse antes si se producen modificaciones sustanciales en los sistemas de información.
      · El informe de auditoria deberá dictaminar sobre la adecuación de las medidas y controles.
      · Identificar deficiencias y proponer medidas correctoras.
      · Análisis del informe de auditoria por responsable de seguridad y las conclusiones se elevaran al responsable del fichero.

    Etiam magna arcu, ullamcorper ut pulvinar et, ornare sit amet ligula. Aliquam vitae bibendum lorem. Cras id dui lectus. Pellentesque nec felis tristique urna lacinia sollicitudin ac ac ex. Maecenas mattis faucibus condimentum. Curabitur imperdiet felis at est posuere bibendum. Sed quis nulla tellus.

    ADDRESS

    63739 street lorem ipsum City, Country

    PHONE

    +12 (0) 345 678 9

    EMAIL

    info@company.com