Política de seguridad

MUEBLES TAPA-TAPA, S.L.

 

Este documento debe ser entregado a todas las personas que tratan datos personales en la entidad. Las sucesivas versiones deben ser notificadas a dichas personas a través de correo electrónico con acuse de recibo.

Los usuarios deben verificar periódicamente que disponen de la versión más actualizada del documento, según la numeración que consta al pie del mismo.

 

 

CONTROL DE VERSIONES

    EDICIÓN

    FECHA

DESCRIPCIÓN

     Decimosegunda

Mayo 2021

Se actualiza este documento.

 

PARTE GENERAL

Capítulo 1.- Conceptos básicos       

1.1.      Objeto

1.2.      Definición de datos personales        

1.3.      Relación del Personal           

1.4.      Tratamientos de datos a los que se aplica la Política de Seguridad          

1.5.      Descripción del software utilizado en el tratamiento de datos        

1.6.      Nuevas actividades de tratamiento de datos           

1.7.      Relación de usuarios y tratamientos de datos autorizados a cada uno de ellos   

 

Capítulo 2.- Controles de Acceso a la Información y Confidencialidad     

2.1. Objeto     

2.2. Reglas generales           

2.3. Contraseñas       

2.4. Accesos en remoto        

2.5. Controles de acceso a la información en papel

2.6. Control de acceso físico

 

Capítulo 3: Gestión de soportes informáticos y documentos         

3.1. Objeto     

3.2. Medidas aplicables a todos los soportes y documentos         

3.2.1. Almacenamiento de soportes y documentos

3.2.2. Borrado de datos. Desechado de documentos y soportes   

3.3. Medidas especiales aplicables a documentos en papel          

3.3.1. Documentos en tramitación o revisión          

3.3.2. Ubicación de archivadores con datos de riesgo elevado     

3.3.3. Copias o reproducciones de documentos con datos de riesgo elevado     

3.4. Medidas especiales aplicables a soportes informáticos          

3.4.1. Usos permitidos de soportes informáticos    

3.4.2. Cifrado de los datos    

 

Capítulo 4: Gestión de brechas de seguridad         

4.1. Objeto     

4.2. Desarrollo

           

Capítulo 5: Protección de las comunicaciones       

5.1. Uso del correo electrónico        

5.2. Confidencialidad de los destinatarios del correo electrónico   

5.3. Limpieza de los documentos     

5.4. Cifrado de datos 

 

Capítulo 6. Protección frente a código dañino y phishing   

 

Esta Parte General de la Política de Seguridad debe ser entregada a todas las personas que tratan datos personales en la entidad, así como al personal de empresas externas que tengan acceso a datos y presten sus servicios presencialmente en las instalaciones de la Entidad o mediante conexión remota.

 

Capítulo 1.- Conceptos básicos

Objeto

La presente Política de Seguridad describe las medidas que deben aplicarse en MUEBLES TAPA-TAPA, S.L. (en adelante, la Entidad) para evitar la alteración o pérdida de los datos personales o su tratamiento o acceso no autorizados.

El cumplimiento de esta Política de Seguridad es obligatorio para todas las personas que tratan datos personales en la Entidad, así como para el personal de empresas externas que tengan acceso a datos y presten sus servicios presencialmente en las instalaciones de la Entidad o mediante conexión remota.

Las medidas de seguridad definidas en este documento son resultado del Análisis de Riesgos efectuado al efecto.

Definición de datos personales

Dato personal es cualquier información concerniente a personas físicas, identificadas o identificables. Por tanto, no son datos personales los datos de personas jurídicas (sociedades mercantiles, instituciones, etc.).

Relación del Personal

Responsable del Tratamiento de los Datos:

Es quien decide sobre los fines y los medios del tratamiento de los datos. A efectos de esta Política, es Responsable del Tratamiento:

Identificación

NIF

MUEBLES TAPA-TAPA, S.L.

B-28270171

Domicilio

C/ Marcelo Usera 103, Local, 28026 – Madrid

   

Contacto de Seguridad:

Es la persona que, dentro de la entidad, tiene la función de coordinar y controlar la aplicación y efectividad de las medidas técnicas y organizativas establecidas para el cumplimiento de la normativa sobre protección de datos personales. El Contacto de Seguridad es:

Identificación del Contacto de Seguridad

Dña. Mónica Hernández

E-mail del Contacto de Seguridad

monica@mueblestapatapa.com

Usuarios:

Personas autorizadas para acceder a datos personales de la Entidad o responsabilidad de sus clientes.

Se incluye una relación de usuarios y de accesos autorizados a cada uno de ellos en el Apartado 1.7 de este documento.

Delegado de Protección de Datos (DPD):

Se ha efectuado la oportuna valoración y se ha concluido que, conforme a la normativa aplicable, la Entidad no está obligada a designar un Delegado de Protección de Datos.

Tratamientos de datos a los que se aplica la Política de Seguridad

La presente Política de Seguridad se aplica a los tratamientos de datos personales que se realizan en la Entidad, ya informáticamente, ya en papel.

Las medidas de seguridad deben también cumplirse con respecto a los ficheros temporales o copias de documentos creados exclusivamente para realizar trabajos temporales. Los ficheros o documentos temporales han de ser destruidos por el usuario cuando hayan dejado de ser necesarios para los fines que motivaron su creación.

La Entidad realiza, como responsable, los tratamientos de datos personales que constan en el Registro de Actividades del Tratamiento que figura en el ANEXO a la Política de Protección de Datos Personales.

Descripción del software utilizado en el tratamiento de datos

Se utilizan los siguientes programas:

GESMOBEL: Aplicación de gestión integral de negocio.

GESTOR CRM: Aplicación utilizada para llevar a cabo la contabilidad.

Paquete Microsoft Office.

Antivirus: Esset Smart Security.

Nuevas actividades de tratamiento de datos

Los usuarios deben consultar previamente al Contacto de Seguridad cuando, en el desempeño de sus funciones, necesiten realizar las siguientes actividades:

Tratar datos personales distintos de los que figuran en el Registro de Actividades del Tratamiento de la entidad o para finalidades diferentes de las indicadas en él.

Tratar datos personales en el disco duro del propio ordenador personal del usuario, en un disco duro de un ordenador distinto de los destinados a ello, en otro dispositivo electrónico o mediante computación en nube.

Instalar una nueva aplicación informática que utilice datos personales o desinstalar o alterar una ya existente.

Relación de usuarios y tratamientos de datos autorizados a cada uno de ellos

 (A: Tratamiento automatizado; M: Tratamiento manual; X: Tratamiento mixto -automatizado y manual)

USUARIOS

Clientes

Personal

Control acceso por cámaras

Proveedores

Quiebras de Seguridad y Derechos RGPD

Consultar

Modificar

Copiar

Consultar

Modificar

Copiar

Consultar

Modificar

Copiar

Consultar

Modificar

Copiar

Consultar

Modificar

Copiar

Dña. Mónica Hernández

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

D. Miguel Hernández

X

X

X

         

X

  

Dña. Esther Estrada

X

X

X

         

X

  

D. Germán Guadaloto

X

X

X

         

X

  

D. Juan Carlos Vicente

X

X

X

      

X

X

X

X

  

 

               

Capítulo 2.- Controles de Acceso a la Información y Confidencialidad

2.1. Objeto

Este Apartado describe los controles existentes para que cada usuario acceda únicamente a los datos y recursos que necesite para el desempeño de sus funciones.

2.2. Reglas generales

Se debe evitar el acceso de personas no autorizadas a los datos personales.

A tal fin, se evitará dejar los datos expuestos a terceros (pantallas electrónicas desatendidas, documentos en papel en zonas de acceso público, soportes con datos personales, etc.), incluyendo las pantallas que se utilicen para la visualización de imágenes captadas por las cámaras.

No se comunicarán datos personales a terceros, prestando especial atención en no divulgar datos personales durante las conversaciones telefónicas, en correos electrónicos, etc.

Los deberes de confidencialidad y secreto subsisten aún después de finalizada la relación entre el usuario y la empresa.

2.3. Contraseñas

El mecanismo de identificación y autenticación utilizado en el tratamiento automatizado de los datos personales es el de usuario y contraseña.

La generación inicial de una contraseña la hará el Contacto de Seguridad, quien la comunicará confidencialmente a cada usuario. El cambio de contraseñas será realizado por el propio usuario, cada vez que el sistema lo exija.

Las contraseñas tendrán un mínimo de 10 caracteres y estarán integradas por números, letras (mayúsculas y minúsculas) y símbolos.

Cada identificador y contraseña debe ser tratado por los usuarios como información confidencial, personal e intransferible y no podrán ser revelados a terceros, ni siquiera a compañeros de trabajo.

Si un usuario necesita acceder a datos o correos electrónicos a los que no tenga acceso, debe comunicarlo al Contacto de Seguridad, quien, si lo considera justificado, podrá facilitarle el acceso. En ningún caso dos usuarios podrán compartir sus contraseñas para acceder de manera conjunta a los datos personales.

En caso de que la confidencialidad de una contraseña pudiera verse comprometida, se deberá poner inmediatamente en conocimiento del Contacto de Seguridad.

No está permitido apuntar los identificadores y contraseñas, ni en papel, ni en soporte electrónico.

Cuando un usuario se ausente del puesto de trabajo, procederá al bloqueo de la pantalla o al cierre de la sesión.

No está permitido utilizar los ordenadores del trabajo para fines personales. En caso de que, excepcionalmente, sea necesario, se deberá disponer de perfiles de usuario distintos para cada una de las finalidades.

2.4. Accesos en remoto

En caso de que existan accesos al sistema de tratamiento de datos a través de redes de comunicaciones electrónicas o en remoto, se deberán aplicar en ellos las mismas medidas de seguridad que en los accesos locales.

2.5. Controles de acceso a la información en papel

A los documentos en papel que contengan datos personales únicamente podrán acceder los usuarios que lo necesiten para desempeñar sus funciones, de conformidad con los permisos que cada uno tenga autorizados. El resto de usuarios tienen prohibido el acceso a estos documentos.

Si un usuario necesita tratar documentos con datos personales, pero no tiene permiso para ello, debe solicitar la autorización previa del Contacto de Seguridad.

2.6. Control de acceso físico

Las medidas de seguridad físicas juegan un papel tan importante como las medidas técnicas, en tanto que protegen los sistemas de un acceso físico no autorizado.

En este sentido, la empresa valorará la conveniencia de establecer sistemas de identificación del personal, definición de áreas de acceso restringido, sistemas de detección de intrusos o la instalación de barreras perimetrales, debiendo los usuarios respetar dichas medidas, en su caso.

Sólo el personal de informática podrá acceder a los lugares donde se encuentren ubicados los equipos físicos que dan soporte al sistema informático con el que se tratan dichos datos. El acceso a dicho lugar se encuentra limitado mediante llave, huella dactilar o mecanismo equivalente. El acceso a dichos locales por personas distintas debe efectuarse siempre bajo el control del Contacto de Seguridad.

Capítulo 3: Gestión de soportes informáticos y documentos

3.1. Objeto

Este Apartado describe las condiciones en las que pueden utilizarse soportes informáticos portátiles – CDs, memorias portátiles, discos duros externos, ordenadores portátiles, etc. – y documentos en papel que contengan datos personales.

3.2. Medidas aplicables a todos los soportes y documentos

Las medidas de seguridad contenidas en este apartado deben aplicarse tanto a soportes informáticos como a documentos en papel, siempre que contengan datos personales.

3.2.1. Almacenamiento de soportes y documentos

Mientras no se esté trabajando con ellos, los usuarios deben guardar los soportes y documentos con datos personales en estancias, armarios, cajones u otros dispositivos que dispongan de cerradura con llave o mecanismo equivalente, de modo que sólo él o, en su caso, el resto de personas autorizadas, puedan acceder a ellos.

3.2.2. Borrado de datos. Desechado de documentos y soportes

El fin último en la destrucción o retirada de los dispositivos y soportes que contienen datos personales debe ser un borrado irreversible de los datos, para que no puedan ser recuperados.

Quien vaya a desechar documentos o soportes que contengan datos personales, debe, previamente, destruirlos o borrarlos, cumpliendo las siguientes premisas:

El usuario guardará reservadamente el documento o soporte hasta que lleve a cabo el borrado o destrucción.

La destrucción o borrado deben tener como resultado necesario la imposibilidad de acceder o reconstruir, siquiera parcialmente, la información.

Siempre que se cumpla el objetivo anterior, la destrucción se podrá hacer por medios manuales o, en su caso, por los medios mecánicos que la Entidad ponga a disposición de los usuarios.

Queda terminantemente prohibido depositar soportes o documentos no destruidos o borrados en la vía pública o lugares accesibles a personas no autorizadas.

Se recomienda seguir los siguientes procedimientos de destrucción o borrado, conforme a los estándares internacionales generalmente reconocidos:

SOPORTE

PROCEDIMIENTO

Papel o microfilm

Destruir

Trituradora en tiras o cuadrados de 2mm

Móviles y PDAs

Borrar manualmente

Agenda, mensajes, llamadas y resetear a la configuración de fábrica

Routers

Borrar manualmente

Tablas de encaminamiento, registros de actividad, cuentas de administración y resetear a la configuración de fábrica

Impresoras y faxes

Borrar manualmente

Resetear a la configuración de fábrica

Discos reescribibles

Formatear

Formateo de bajo nivel

Discos de solo lectura

Destruir

Trituradora: 5mm

Discos virtuales cifrados

Además de lo anterior

Destruir las claves

El usuario que tenga conocimiento de la existencia de soportes o documentos que, debiendo ser destruidos o borrados, no lo hayan sido, lo comunicará de inmediato al Contacto de Seguridad, para que adopte las medidas oportunas para la destrucción.

3.3. Medidas especiales aplicables a documentos en papel

Además de las medidas previstas en el Apartado 3.2 anterior, cuando se traten documentos en papel que contengan datos personales, deben cumplirse las siguientes:

3.3.1. Documentos en tramitación o revisión

Durante el tiempo en que, por estar en revisión o tramitación, anterior o posterior a su archivo, los documentos con datos personales no se encuentren almacenados en las condiciones previstas en el Apartado 3.2.1, la persona que esté a su cargo los mantendrá permanentemente en su poder y bajo su vigilancia y control, impidiendo a terceros no autorizados acceder a ellos. El resto del tiempo, los documentos permanecerán guardados en los lugares mencionados en el apartado 3.2.1

Siempre que un usuario haya de imprimir documentos que incluyan datos personales, debe tener en cuenta las siguientes medidas:

Supervisará el proceso, con el fin de impedir que personas no autorizadas puedan visualizar los datos mientras se realiza la impresión.

Retirará los documentos de la impresora en cuanto sea posible y los guardará en un lugar seguro.

3.3.2. Ubicación de archivadores con datos de riesgo elevado

Los archivadores en los que se almacenen los documentos con datos cuyo tratamiento implique un riesgo elevado (conforme a lo previsto en el Registro de Actividades de Tratamiento) deben ubicarse en un área que disponga de puerta con llave propia o sistema equivalente. Dicha área debe permanecer cerrada mientras no sea necesario acceder a los documentos.

3.3.3. Copias o reproducciones de documentos con datos de riesgo elevado

Las copias o reproducciones de los documentos con datos cuyo tratamiento implique un riesgo elevado (conforme a lo previsto en el Registro de Actividades de Tratamiento) deben realizarse siempre con autorización del Contacto de Seguridad.

Cuando este tipo de documentos se trasladen, deben adoptarse las medidas necesarias para impedir el acceso indebido o la manipulación de la información.

En todo caso, si un usuario tuviera conocimiento de la existencia de documentos en papel con datos personales con respecto a los que no se cumplan las medidas de seguridad previstas en este Apartado 3.3 lo comunicará de inmediato al Contacto de Seguridad, para que adopte las medidas oportunas.

3.4. Medidas especiales aplicables a soportes informáticos

3.4.1. Usos permitidos de soportes informáticos

Como regla general, no está permitida a los usuarios la grabación de datos personales en soportes físicos o informáticos portátiles – CDs, memorias portátiles, discos duros externos, ordenadores portátiles, etc. –. Únicamente podrán tratar dichos datos en soporte papel y sólo si ello es necesario para el desempeño de sus funciones.

Excepcionalmente, se permite la grabación o utilización de datos personales en soportes informáticos portátiles cuando el usuario, necesitándolo para desempeñar sus funciones, solicite y obtenga una autorización del Contacto de Seguridad.

Adicionalmente, se podrán grabar datos personales en soportes informáticos portátiles en los siguientes supuestos:

Para la realización de copias de seguridad, por las personas encargadas de hacerlo.

La grabación de datos mediante las cámaras del sistema de videovigilancia.

Los usuarios que hayan sido autorizados para utilizar ordenadores portátiles, agendas electrónicas, tablets o dispositivos análogos.

3.4.2. Cifrado de los datos

La salida de soportes – CDs, memorias portátiles, discos duros externos, ordenadores portátiles, etc. – que contengan datos cuyo tratamiento implique un riesgo elevado (conforme a lo previsto en el Registro de Actividades de Tratamiento) se realizará cifrando dichos datos o utilizando cualquier otro mecanismo que garantice que dicha información no sea inteligible ni manipulada.

El tratamiento de datos cuyo tratamiento implique un riesgo elevado mediante soportes portátiles fuera de las instalaciones de la Entidad debe hacerse también cifrando los datos.

No se podrán enviar datos cuyo tratamiento implique un riesgo elevado por medios telemáticos (e-mail, Internet, etc.) sin autorización expresa del Contacto de Seguridad. Además, antes de efectuar cualquier comunicación de dichos datos mediante redes de telecomunicaciones, también deberá cifrarse la información.

En todo caso, se valorará la posibilidad de proceder al cifrado de datos personales con carácter previo a que salgan de las instalaciones de la entidad en soporte informático, aun cuando, por la naturaleza de los datos personales enviados y resto de circunstancias concurrentes, no exista un riesgo elevado.

Capítulo 4: Gestión de brechas de seguridad

4.1. Objeto

Este apartado describe la forma de actuar en caso de que se produzca una brecha de la seguridad que afecte o pueda afectar a los datos personales.

Una brecha de seguridad es todo quebranto de la seguridad que ocasione o pueda ocasionar la destrucción, pérdida o alteración accidental o ilícita de datos personales tratados o la comunicación o acceso no autorizados a dichos datos. Por ejemplo, si se produjese una incidencia informática (virus, hacker, etc.) que pusiese en peligro la confidencialidad, integridad o disponibilidad de los datos personales.

4.2. Desarrollo

Todos los usuarios tienen la obligación de comunicar al Contacto de Seguridad, lo antes posible, cualquier anomalía o evento que observen y que en su ejecución o desarrollo pueda afectar a la seguridad de la información tratada por la entidad, cualquiera que sea el soporte en que se encuentre, informático o en papel.

A tal fin, cuando un usuario detecte una brecha de seguridad (potencial o consumada), debe comunicarlo de modo inmediato al Contacto de Seguridad, con toda la información que conozca hasta ese momento.

Salvo que, excepcionalmente, las circunstancias lo impidan, la comunicación al Contacto de Seguridad se efectuará al correo electrónico monica@mueblestapatapa.com, incluyendo, al menos, la siguiente información:

Nombre, apellidos y puesto de la persona que efectúa la notificación.

En qué ha consistido la posible brecha de seguridad.

Fecha y hora en la que fue detectada.

Cuáles han sido sus efectos, potenciales o consumados.

Toda la información complementaria que se considere de interés.

El e-mail se remitirá con acuse de recibo, que deberá ser confirmado por el destinatario y conservado por el remitente como prueba del envío.

Capítulo 5: Protección de las comunicaciones

5.1. Uso del correo electrónico

El uso del correo electrónico queda limitado, estrictamente, al cumplimiento de las tareas laborales o profesionales que el usuario tenga asignadas, no pudiendo utilizarse para fines privados.

Se utilizará el correo electrónico corporativo, evitando, salvo que resulte imprescindible, el uso de otras cuentas de correo distintas.

5.2. Confidencialidad de los destinatarios del correo electrónico

Cuando se envíe un e-mail a varios destinatarios simultáneamente, para evitar que las direcciones de correo electrónico de cada uno de ellos sean visibles para los demás, dichas direcciones se incluirán siempre en el campo “CCO” (con copia oculta) del programa gestor de correo y nunca en el campo “Para”, ni en el campo “CC” (con copia).

5.3. Limpieza de los documentos

Cuando un documento electrónico deba ser enviado fuera de las instalaciones de la empresa, previamente, se debe retirar de él toda la información contenida en campos ocultos, metadatos, comentarios, revisiones anteriores, etc. salvo cuando dicha información sea pertinente para el receptor del documento. En los siguientes links se explica cómo eliminar esta información:

Documentos Office: https://support.office.com/es-es/article/quitar-datos-ocultos-e-informaci%C3%B3n-personal-mediante-la-inspecci%C3%B3n-de-documentos-presentaciones-o-libros-356b7b5d-77af-44fe-a07f-9aa4d085966f

Documentos Adobe: https://helpx.adobe.com/es/acrobat/using/pdf-properties-metadata.html#edit_document_metadata

Esta medida es especialmente relevante cuando el documento vaya a difundirse ampliamente o entre varias personas.

5.4. Cifrado de datos

Cuando se envíen datos personales a través de redes de telecomunicaciones (por ejemplo, a través del correo electrónico), el usuario deberá valorar la posibilidad de utilizar un método de encriptación para garantizar la confidencialidad de los datos personales en caso de acceso indebido a la información. En caso de que valore que es conveniente cifrar los datos, procederá al cifrado por sí mismo o con la asistencia del Contacto de Seguridad.

El servidor en el que se aloja la página web debe tener instalado un certificado SSL (Secure Sockets Layer). Ello asegura que la comunicación de datos personales a través de la web se hace de forma fiable, garantizando a los usuarios la identidad del sitio web y cifrando la información transmitida.

En todo caso, será obligatorio el previo cifrado de los datos cuyo tratamiento implique un riesgo elevado (conforme a lo previsto en el Registro de Actividades de Tratamiento).

Capítulo 6. Protección frente a código dañino y phishing

Se considera código dañino los virus, los gusanos, los troyanos, los programas espías, «spyware» y, en general, todo lo conocido como «malware».

El phishing es una técnica engañosa utilizada por los delincuentes para obtener información confidencial, como nombres de usuario, contraseñas y detalles de tarjetas de crédito, haciéndose pasar por una comunicación confiable y legítima.

Para prevenir estos ataques, antes de abrir correos electrónicos, ejecutar archivos informáticos o pulsar hipervínculos, los usuarios se asegurarán de los siguientes extremos:

Que dichas acciones estén relacionadas con el ejercicio de sus funciones laborales.

Que se identifique correctamente al remitente.

Los usuarios deben estar atentos a cualquier indicio de que en el sistema informático haya podido instalarse código dañino. Ante dicha sospecha, el usuario, como primera medida de prevención, desconectará el equipo de la red y lo apagará, comunicando inmediatamente la situación al Contacto de Seguridad para que se adopten las actuaciones oportunas.

 

PARTE ESPECIAL

Capítulo 1: Sistema de tratamiento

1.1. Objeto

1.2.      Nuevos tratamientos y modificaciones en el sistema

1.3.      Pruebas con datos reales

Capítulo 2: Controles de Acceso a la información (Parte especial)

2.1. Objeto

2.2. Controles de acceso a la información automatizada

2.3. Generación y distribución de contraseñas

2.4. Almacenamiento de las contraseñas

2.5. Renovación periódica de contraseñas

2.6. Otros controles de acceso

2.7. Limitación de intentos reiterados de acceso al sistema

2.8. Monitorización y registro de accesos

Capítulo 3: Tratamientos de datos por terceras personas o empresas

3.1. Objeto

3.2. Personal ajeno a la Entidad con acceso a datos

3.3. Personal ajeno a la Entidad sin acceso a datos personales

Capítulo 4: Gestión y notificación de brechas de seguridad (Parte especial)

4.1. Objeto

4.2. Desarrollo

Capítulo 5: Copias de Seguridad

5.1. Objeto

5.2. Procedimiento de copias de seguridad

Capítulo 6: Otras salvaguardas

6.1. Objeto

6.2. Relación de salvaguardas complementarias

6.2.1. Actualización de ordenadores, dispositivos y aplicaciones

6.2.2. Antivirus

6.2.3. Seguridad de las comunicaciones y cortafuegos

6.2.4. Opción de seudonimización o cifrado de los datos

6.2.5. Borrado automático de los datos

6.3. Cumplimiento de las salvaguardas complementarias

Capítulo 7: Revisión/auditoría de las medidas de seguridad

7.1. Objeto

7.2. Revisiones/auditorías puntuales

7.3. Revisiones/auditorías periódicas

Capítulo 8: Entrega de la documentación de protección de datos. Formación

8.1. Objeto

8.2. Entrega

8.3. Formación.

Esta Parte Especial debe ser entregada únicamente al Contacto de Seguridad y personal de informática, pero, como regla general, no al resto de usuarios de la entidad.

Sin embargo, excepcionalmente, también deben entregarse los siguientes Capítulos:

Capítulo 2. Controles de acceso a la información (Parte Especial): Debe entregarse a los usuarios con acceso a los ordenadores, cuando sean ellos mismos quienes elijan y cambien las contraseñas.

Capítulo 5. Copias de Seguridad: Debe entregarse a los usuarios encargados de hacer las copias de seguridad, cuando aquellos no coincidan con el Contacto de Seguridad o personal de informática.

También debe entregarse al Contacto de Seguridad el Anexo de este Documento, en el que consta en procedimiento que debe seguirse en caso de que se produzcan brechas de seguridad que pudieran afectar a los datos personales.

Capítulo 1: Sistema de tratamiento

1.1. Objeto

Este Apartado describe el sistema mediante el cual se llevan a cabo los tratamientos de datos.

El software utilizado se describe en el apartado 1.5 de la “Parte General”.

Nuevos tratamientos y modificaciones en el sistema

El Contacto de Seguridad consultará previamente a Picón & Asociados Abogados cuando los usuarios deseen llevar a cabo tratamientos de datos personales distintos de los del ANEXO I de la Política de Protección de Datos Personales o utilizar plataformas de tratamiento de datos mediante computación en la nube.

El personal de informática, incluidas las compañías subcontratadas de servicios informáticos, deben informar al Contacto de Seguridad de los cambios que realicen en el sistema informático.

En todos los casos mencionados, Picón & Asociados Abogados informará sobre la legalidad de los nuevos tratamientos o sistemas de tratamiento de datos y asesorará sobre las medidas a adoptar.

La adecuada gestión de los medios del tratamiento, ya sean activos de hardware, software o recursos de red, es clave para garantizar la seguridad de los datos personales, al igual que todo cambio producido en estos y que debe estar perfectamente sincronizado, controlado y supervisado, para que, de modo accidental, no derive en una revelación, modificación o pérdida no autorizada de los datos personales tratados.

Pruebas con datos reales

Las pruebas anteriores a la implantación o modificación de los sistemas de tratamiento no se realizarán con datos reales, salvo que se asegure la aplicación de todas las medidas de seguridad correspondientes al tipo de datos tratados.

 

Capítulo 2: Controles de Acceso a la información (Parte especial)

2.1. Objeto

Este Apartado describe los controles existentes para que cada usuario acceda, únicamente, a los datos y recursos que necesite para el desempeño de sus funciones.

2.2. Controles de acceso a la información automatizada

Cada usuario dispone de un nombre de usuario y una contraseña que le identifican de forma inequívoca y personalizada en el acceso al sistema y verifican que se encuentra autorizado. Este sistema de identificación y autenticación se encuentra:

En las aplicaciones de gestión y contabilidad.

En el acceso al sistema operativo de los ordenadores.

Cada usuario tiene asignado un perfil o protocolo de acceso a datos, de forma tal que únicamente puede acceder a aquellos que necesita para ejercer sus funciones.

Se habilitarán perfiles con derechos de administración para la instalación y configuración del sistema y usuarios sin privilegios o derechos de administración para el acceso a datos personales.

2.3. Generación y distribución de contraseñas

La generación de contraseñas la realiza el Contacto de Seguridad.

Las contraseñas tendrán, al menos, 10 caracteres, incluyendo números, letras (mayúsculas y minúsculas) y símbolos.

La distribución de contraseñas la realiza el Contacto de Seguridad, quien las comunica verbalmente y de modo confidencial a cada usuario.

Los sistemas que realicen la identificación del usuario garantizarán que la introducción de la contraseña y su representación en pantalla, en el momento de la autenticación, se efectúan en un formato no legible para el resto de los usuarios.

2.4. Almacenamiento de las contraseñas

Las contraseñas se almacenan en formato ininteligible en el sistema informático donde se realiza la autenticación de usuarios, en cada caso. Sólo el Contacto de Seguridad podrá conocer y almacenar las contraseñas de los demás usuarios.

En caso de que dicho almacenamiento se produzca en soporte papel, el documento que las contenga deberá guardarse en un lugar sólo accesible al Contacto de Seguridad. En caso de que el almacenamiento se efectúe en archivo informático, dicho archivo deberá guardarse, a su vez, bajo contraseña sólo conocida por el Contacto de Seguridad.

2.5. Renovación periódica de contraseñas

Las contraseñas son renovadas por el propio usuario, al menos una vez al año y, además, toda vez que se sospeche que su confidencialidad ha sido comprometida.

2.6. Otros controles de acceso

Cuando el personal de la Entidad tenga que realizar trabajos que no impliquen acceso a datos personales, el Contacto de Seguridad debe adoptar las medidas adecuadas para limitar el acceso a dichos datos, a los soportes que los contengan o a los recursos del sistema de información.

2.7. Limitación de intentos reiterados de acceso al sistema

El sistema de usuario y contraseñas debe bloquearse cada vez que alguien intente reiteradamente el acceso no autorizado al sistema de información.

Se considera que existe un intento reiterado de acceso no autorizado cuando alguien introduzca 3 ó más veces un nombre de usuario o contraseña erróneos o falsos para acceder al sistema.

2.8. Monitorización y registro de accesos

Si es posible, se activará un registro de logs en los sistemas de información, para permitir la identificación y seguimiento de las acciones realizadas por los usuarios cuando acceden a los equipos en los que se realiza el tratamiento de datos personales, con el fin de identificar potenciales intentos de acceso no autorizado, tanto internos como externos, y como medida de responsabilidad proactiva en el caso de que se produzca un incidente de seguridad. De cada acceso que se produzca, se guardará, al menos, la identificación del usuario que haya accedido, la fecha y hora en que se realizó el acceso, el registro accedido y el tipo de acceso.

El Contacto de Seguridad supervisará directamente el correcto funcionamiento del registro de accesos, no permitiendo su desactivación o manipulación.

 

 

Capítulo 3: Tratamientos de datos por terceras personas o empresas

3.1. Objeto

El objeto de este apartado es la identificación de los tratamientos de datos personales efectuados por terceros encargados del tratamiento y la indicación de las normas que han de cumplirse en estos casos.

3.2. Personal ajeno a la Entidad con acceso a datos

Las personas o entidades que acceden a los datos tratados en los sistemas de la Entidad en la prestación de sus servicios como proveedores externos (encargados del tratamiento) son:

Picón & Asociados Derecho y Nuevas Tecnologías, S.L.

NIF.- B-85397669

Descripción de los servicios.

Asesoramiento legal para el cumplimiento de la normativa sobre protección de datos personales.

Datos a que accede.

Cualesquiera, en la medida en que sea necesario para la prestación del servicio.

 

Delta Soft Desarrollo Software, S.L.

Descripción de los servicios.

Administración y mantenimiento informático del software de Gestión “Gesmobel”.

Datos a que accede.

Clientes.

Proveedores.

 

Extra Software, S.A.

Descripción de los servicios.

Administración y mantenimiento informático del software de Contabilidad.

Datos a que accede.

Clientes.

Proveedores.

 

Opción Jurídica

Descripción de los servicios.

Gestión de nóminas, seguros sociales y asesoramiento laboral.

Datos a que accede.

Personal

 

De Vicente y Cervantes, S.L.U.

Descripción de los servicios.

Asesoramiento fiscal y contable.

Datos a que accede.

Clientes.

Proveedores.

 

 

 

 

D. Román Clemente Ruiz

Descripción de los servicios.

Servicios de almacenaje de mobiliario y entrega a clientes.

Datos a que accede.

Clientes.

 

SERMEPRESA

Descripción de los servicios.

Prevención de Riesgo Laborales.  

Datos a que accede.

Empleados.

 

D. Fernando Romero Noria

Descripción de los servicios.

Marketing.  

Datos a que accede.

Clientes.

 

EDENRED

Descripción de los servicios.

Tarjetas para empleados.  

Datos a que accede.

Empleados.

Cada encargado del tratamiento tiene las facultades de acceso y tratamiento de datos personales que son estrictamente necesarias para la prestación de los servicios contratados. Las obligaciones que deben cumplir se encuentran recogidas en el contrato de prestación de servicios suscrito con cada uno de ellos en las condiciones exigidas por el artículo 28 RGPD. Se debe velar por que los encargados del tratamiento elegidos reúnan las condiciones necesarias para cumplir el RGPD, tanto en su elección como durante la prestación de sus servicios.

3.3. Personal ajeno a la Entidad sin acceso a datos personales

Cuando personal ajeno a la Entidad tenga que realizar trabajos que no impliquen acceso a datos personales, la Entidad debe solicitar a la empresa para la que trabajen que les exija que no accederán a los datos y, en su caso, que guardarán secreto respecto de los que hubieran podido conocer en la prestación de los servicios.

Capítulo 4: Gestión y notificación de brechas de seguridad (Parte especial)

4.1. Objeto

Este Apartado describe la forma de actuar ante las brechas de seguridad que afecten o puedan afectar a datos personales.

4.2. Desarrollo

Las brechas de seguridad que sean notificadas al Contacto de Seguridad se gestionarán conforme al procedimiento que consta al efecto en el ANEXO de este Documento.

Capítulo 5: Copias de Seguridad

5.1. Objeto

Describir la forma en que se deben realizar las copias de seguridad.

5.2. Procedimiento de copias de seguridad

El procedimiento para realizar copias de seguridad es el siguiente:

Las copias de seguridad son efectuadas por el Contacto de Seguridad en un soporte informático externo tipo Pendrive con una periodicidad, al menos, semanal. El Pendrive es almacenado en una ubicación especifica bajo llave. Existen tres PenDrive, que se van alternando semanalmente para la realización de las copias. Además, se utiliza un cuarto PenDrive para copias mensuales.

Los soportes en los que se hacen las copias de seguridad se encuentran etiquetados de manera que pueda identificarse su contenido de forma clara y sencilla.

Las copias antiguas o caducas se van sobrescribiendo.

Asimismo, los propios programas de GESMOBEL y GESTOR OFFICE tienen su propia aplicación para realizar las copias de seguridad con una periodicidad, al menos, semanal.

Las copias de seguridad se deben guardar en un lugar diferente de aquél en que se encuentran los equipos informáticos con los ficheros originales, con el fin de permitir la recuperación de los datos en caso de pérdida de la información.

Periódicamente, el Contacto de Seguridad verificará el correcto funcionamiento de las copias de seguridad.

Como complemento a lo anterior, es recomendable que la entidad desarrolle un plan de continuidad de negocio, que describa los procedimientos que debe seguir si se produjese un incidente o brecha de seguridad que afectase a los datos personales, con objeto de que se pueda restaurar la disponibilidad y el acceso a ellos de forma rápida.

 

Capítulo 6: Otras salvaguardas

6.1. Objeto

Describir una serie de medidas técnicas complementarias que permitan la salvaguarda de los datos personales.

6.2. Relación de salvaguardas complementarias

Se exponen a continuación el resto de salvaguardas que la Entidad debe implementar en su sistema informático, para garantizar la seguridad de los datos personales que se traten en él.

6.2.1. Actualización de ordenadores, dispositivos y aplicaciones

Los dispositivos, ordenadores y aplicaciones utilizados para el almacenamiento y tratamiento de los datos personales deberán mantenerse actualizados.

Si es posible, se impedirá que los usuarios puedan instalar nuevas aplicaciones o desinstalar o alterar las existentes.

6.2.2. Antivirus

En los ordenadores y dispositivos en los que se realicen tratamientos de datos personales se instalará un sistema antivirus que garantice, en la medida de lo posible, el robo y destrucción de la información. El antivirus se actualizará periódicamente y, si es posible, a diario. Los usuarios no podrán desactivar el antivirus.

6.2.3. Seguridad de las comunicaciones y cortafuegos

Debe valorarse la necesidad de asegurar las comunicaciones, tanto hacia Internet como en la interconexión con otros sistemas internos o externos, mediante la instalación de sistemas de detección de intrusión y segregación de redes.

Para evitar accesos remotos indebidos a los datos, se instalará un cortafuegos, que permanecerá activado, al menos, en los ordenadores y dispositivos en los que se realice el tratamiento o almacenamiento de datos personales.

6.2.4. Opción de seudonimización o cifrado de los datos

Cuando los datos vayan a salir fuera de las instalaciones en las que habitualmente se realice su tratamiento, se deberá valorar la posibilidad de seudonimizarlos o utilizar previamente un método de encriptación, para garantizar la confidencialidad de los datos personales en caso de acceso indebido a la información.

6.2.5. Borrado automático de los datos

Debe valorarse la implementación de políticas automáticas de borrado de la información para asegurar que los datos no se conservan más allá del tiempo necesario en relación con el propósito para el que fueron recabados.

 

6.3. Cumplimiento de las salvaguardas complementarias

El Contacto de Seguridad velará por que las salvaguardas complementarias mencionadas en este Capítulo 6 se implanten y se mantengan activas, solicitando, en caso necesario, auxilio de quienes estén encargados del mantenimiento del sistema informático.

Capítulo 7: Revisión/auditoría de las medidas de seguridad

7.1. Objeto

Este Apartado describe la forma y periodicidad con que deben hacerse revisiones o auditorías de las medidas y procedimientos establecidos en la presente Política de Seguridad.

7.2. Revisiones/auditorías puntuales

El Contacto de Seguridad deberá revisar y, en su caso, modificar las medidas de seguridad que figuran en este Documento cada vez que se produzca alguna de las circunstancias siguientes:

Cambios en la legislación vigente.

Evolución de las actividades de la entidad.

Resultados de las revisiones y análisis de riesgos efectuados.

Defectos encontrados en la aplicación de procedimientos y medidas existentes.

7.3. Revisiones/auditorías periódicas

El Contacto de Seguridad debe revisar y, en su caso, modificar las medidas de seguridad que figuran en este Documento, al menos, una vez al año y, además, cada vez que se produzcan cambios relevantes en el sistema de información o los recursos protegidos.

Las revisiones/auditorías tienen el objeto de comprobar el cumplimiento de las medidas y procedimientos de seguridad establecidos. Además, se realizará una revisión/auditoría cuando se produzcan modificaciones sustanciales en el sistema de tratamiento de datos que puedan repercutir en el cumplimiento de dichas medidas.

Si así se desea, en el marco de los servicios de un contrato de mantenimiento o puntualmente, Picón & Asociados Abogados podrá efectuar las revisiones/auditorías.

Los resultados de la revisión/auditoría se reflejarán en un Informe que se pronunciará sobre la adecuación de las medidas y controles, identificará las deficiencias y propondrá las medidas correctoras o complementarias necesarias.

El Contacto de Seguridad analizará el Informe de Revisión/Auditoría y lo elevará a la Dirección de la Entidad para la adopción de las medidas correctoras adecuadas.

Capítulo 8: Entrega de la documentación de protección de datos. Formación

8.1. Objeto

Este Apartado describe el modo de entrega de la Política de Seguridad y de la Política de Protección de Datos a los empleados y demás personal al servicio de la entidad.

8.2. Entrega

El Contacto de Seguridad hará entrega a todos los usuarios con acceso a datos de la Política de Protección de Datos, de la Parte General de la Política de Seguridad y de los correspondientes ANEXOS. Asimismo, en su caso, entregará la Parte Especial de la Política de Seguridad a aquellos usuarios que deban conocerla, según lo indicado en la introducción de esta Parte Especial.

Cada usuario debe asumir un compromiso de cumplimiento de la Política de Protección de Datos y de la Política de Seguridad mediante la firma de un documento que le debe ser entregado al efecto por el Contacto de Seguridad o el responsable de recursos humanos de la Entidad.[1]

Cuando se elaboren nuevas versiones o actualizaciones de la Política de Protección de Datos y de la Política de Seguridad, el Contacto de Seguridad notificará su existencia a los usuarios, poniéndolas a su disposición a través de e-mail o de la intranet. En estos casos, los usuarios deberán firmar el correspondiente recibí de la notificación.[2]

8.3. Formación.

Para una efectiva implantación de las medidas técnicas y organizativas, el personal de la organización debe recibir formación periódica y actualizada en relación a los procedimientos de protección de datos personales y seguridad definidos y, en particular, los relativos a las restricciones en la comunicación y divulgación de datos personales, la  protección del acceso a estos por parte de terceros no autorizados mediante medidas de almacenamiento seguro, bloqueo de sesiones, cierre de despachos, etc. así como la destrucción segura de documentos y soportes.

[1] El modelo de dicho documento se incluye en la letra c) del Libro Registro de Cláusulas y Contratos.

[2] El modelo de dicho documento se incluye en la letra e) del Libro Registro de Cláusulas y Contratos.

Ir arriba