MUEBLES TAPA-TAPA, S.L.
Este documento debe ser entregado a todas las personas que tratan datos personales en la entidad. Las sucesivas versiones deben ser notificadas a dichas personas a través de correo electrónico con acuse de recibo.
Los usuarios deben verificar periódicamente que disponen de la versión más actualizada del documento, según la numeración que consta al pie del mismo.
CONTROL DE VERSIONES | ||
EDICIÓN | FECHA | DESCRIPCIÓN |
Decimosegunda | Mayo 2021 | Se actualiza este documento. |
PARTE GENERAL
Capítulo 1.- Conceptos básicos
1.1. Objeto
1.2. Definición de datos personales
1.3. Relación del Personal
1.4. Tratamientos de datos a los que se aplica la Política de Seguridad
1.5. Descripción del software utilizado en el tratamiento de datos
1.6. Nuevas actividades de tratamiento de datos
1.7. Relación de usuarios y tratamientos de datos autorizados a cada uno de ellos
Capítulo 2.- Controles de Acceso a la Información y Confidencialidad
2.1. Objeto
2.2. Reglas generales
2.3. Contraseñas
2.4. Accesos en remoto
2.5. Controles de acceso a la información en papel
2.6. Control de acceso físico
Capítulo 3: Gestión de soportes informáticos y documentos
3.1. Objeto
3.2. Medidas aplicables a todos los soportes y documentos
3.2.1. Almacenamiento de soportes y documentos
3.2.2. Borrado de datos. Desechado de documentos y soportes
3.3. Medidas especiales aplicables a documentos en papel
3.3.1. Documentos en tramitación o revisión
3.3.2. Ubicación de archivadores con datos de riesgo elevado
3.3.3. Copias o reproducciones de documentos con datos de riesgo elevado
3.4. Medidas especiales aplicables a soportes informáticos
3.4.1. Usos permitidos de soportes informáticos
3.4.2. Cifrado de los datos
Capítulo 4: Gestión de brechas de seguridad
4.1. Objeto
4.2. Desarrollo
Capítulo 5: Protección de las comunicaciones
5.1. Uso del correo electrónico
5.2. Confidencialidad de los destinatarios del correo electrónico
5.3. Limpieza de los documentos
5.4. Cifrado de datos
Capítulo 6. Protección frente a código dañino y phishing
Esta Parte General de la Política de Seguridad debe ser entregada a todas las personas que tratan datos personales en la entidad, así como al personal de empresas externas que tengan acceso a datos y presten sus servicios presencialmente en las instalaciones de la Entidad o mediante conexión remota.
Capítulo 1.- Conceptos básicos
Objeto
La presente Política de Seguridad describe las medidas que deben aplicarse en MUEBLES TAPA-TAPA, S.L. (en adelante, la Entidad) para evitar la alteración o pérdida de los datos personales o su tratamiento o acceso no autorizados.
El cumplimiento de esta Política de Seguridad es obligatorio para todas las personas que tratan datos personales en la Entidad, así como para el personal de empresas externas que tengan acceso a datos y presten sus servicios presencialmente en las instalaciones de la Entidad o mediante conexión remota.
Las medidas de seguridad definidas en este documento son resultado del Análisis de Riesgos efectuado al efecto.
Definición de datos personales
Dato personal es cualquier información concerniente a personas físicas, identificadas o identificables. Por tanto, no son datos personales los datos de personas jurídicas (sociedades mercantiles, instituciones, etc.).
Relación del Personal
Responsable del Tratamiento de los Datos:
Es quien decide sobre los fines y los medios del tratamiento de los datos. A efectos de esta Política, es Responsable del Tratamiento:
Identificación | NIF | |
MUEBLES TAPA-TAPA, S.L. | B-28270171 | |
Domicilio | C/ Marcelo Usera 103, Local, 28026 – Madrid | |
Contacto de Seguridad:
Es la persona que, dentro de la entidad, tiene la función de coordinar y controlar la aplicación y efectividad de las medidas técnicas y organizativas establecidas para el cumplimiento de la normativa sobre protección de datos personales. El Contacto de Seguridad es:
Identificación del Contacto de Seguridad |
Dña. Mónica Hernández |
E-mail del Contacto de Seguridad |
monica@mueblestapatapa.com |
Personas autorizadas para acceder a datos personales de la Entidad o responsabilidad de sus clientes.
Se incluye una relación de usuarios y de accesos autorizados a cada uno de ellos en el Apartado 1.7 de este documento.
Delegado de Protección de Datos (DPD):
Se ha efectuado la oportuna valoración y se ha concluido que, conforme a la normativa aplicable, la Entidad no está obligada a designar un Delegado de Protección de Datos.
Tratamientos de datos a los que se aplica la Política de Seguridad
La presente Política de Seguridad se aplica a los tratamientos de datos personales que se realizan en la Entidad, ya informáticamente, ya en papel.
Las medidas de seguridad deben también cumplirse con respecto a los ficheros temporales o copias de documentos creados exclusivamente para realizar trabajos temporales. Los ficheros o documentos temporales han de ser destruidos por el usuario cuando hayan dejado de ser necesarios para los fines que motivaron su creación.
La Entidad realiza, como responsable, los tratamientos de datos personales que constan en el Registro de Actividades del Tratamiento que figura en el ANEXO a la Política de Protección de Datos Personales.
Descripción del software utilizado en el tratamiento de datos
Se utilizan los siguientes programas:
GESMOBEL: Aplicación de gestión integral de negocio.
GESTOR CRM: Aplicación utilizada para llevar a cabo la contabilidad.
Paquete Microsoft Office.
Antivirus: Esset Smart Security.
Nuevas actividades de tratamiento de datos
Los usuarios deben consultar previamente al Contacto de Seguridad cuando, en el desempeño de sus funciones, necesiten realizar las siguientes actividades:
Tratar datos personales distintos de los que figuran en el Registro de Actividades del Tratamiento de la entidad o para finalidades diferentes de las indicadas en él.
Tratar datos personales en el disco duro del propio ordenador personal del usuario, en un disco duro de un ordenador distinto de los destinados a ello, en otro dispositivo electrónico o mediante computación en nube.
Instalar una nueva aplicación informática que utilice datos personales o desinstalar o alterar una ya existente.
Relación de usuarios y tratamientos de datos autorizados a cada uno de ellos
(A: Tratamiento automatizado; M: Tratamiento manual; X: Tratamiento mixto -automatizado y manual)
USUARIOS | Clientes | Personal | Control acceso por cámaras | Proveedores | Quiebras de Seguridad y Derechos RGPD | ||||||||||
Consultar | Modificar | Copiar | Consultar | Modificar | Copiar | Consultar | Modificar | Copiar | Consultar | Modificar | Copiar | Consultar | Modificar | Copiar | |
Dña. Mónica Hernández | X | X | X | X | X | X | X | X | X | X | X | X | X | X | X |
D. Miguel Hernández | X | X | X | X | |||||||||||
Dña. Esther Estrada | X | X | X | X | |||||||||||
D. Germán Guadaloto | X | X | X | X | |||||||||||
D. Juan Carlos Vicente | X | X | X | X | X | X | X | ||||||||
|
Capítulo 2.- Controles de Acceso a la Información y Confidencialidad
Este Apartado describe los controles existentes para que cada usuario acceda únicamente a los datos y recursos que necesite para el desempeño de sus funciones.
Se debe evitar el acceso de personas no autorizadas a los datos personales.
A tal fin, se evitará dejar los datos expuestos a terceros (pantallas electrónicas desatendidas, documentos en papel en zonas de acceso público, soportes con datos personales, etc.), incluyendo las pantallas que se utilicen para la visualización de imágenes captadas por las cámaras.
No se comunicarán datos personales a terceros, prestando especial atención en no divulgar datos personales durante las conversaciones telefónicas, en correos electrónicos, etc.
Los deberes de confidencialidad y secreto subsisten aún después de finalizada la relación entre el usuario y la empresa.
El mecanismo de identificación y autenticación utilizado en el tratamiento automatizado de los datos personales es el de usuario y contraseña.
La generación inicial de una contraseña la hará el Contacto de Seguridad, quien la comunicará confidencialmente a cada usuario. El cambio de contraseñas será realizado por el propio usuario, cada vez que el sistema lo exija.
Las contraseñas tendrán un mínimo de 10 caracteres y estarán integradas por números, letras (mayúsculas y minúsculas) y símbolos.
Cada identificador y contraseña debe ser tratado por los usuarios como información confidencial, personal e intransferible y no podrán ser revelados a terceros, ni siquiera a compañeros de trabajo.
Si un usuario necesita acceder a datos o correos electrónicos a los que no tenga acceso, debe comunicarlo al Contacto de Seguridad, quien, si lo considera justificado, podrá facilitarle el acceso. En ningún caso dos usuarios podrán compartir sus contraseñas para acceder de manera conjunta a los datos personales.
En caso de que la confidencialidad de una contraseña pudiera verse comprometida, se deberá poner inmediatamente en conocimiento del Contacto de Seguridad.
No está permitido apuntar los identificadores y contraseñas, ni en papel, ni en soporte electrónico.
Cuando un usuario se ausente del puesto de trabajo, procederá al bloqueo de la pantalla o al cierre de la sesión.
No está permitido utilizar los ordenadores del trabajo para fines personales. En caso de que, excepcionalmente, sea necesario, se deberá disponer de perfiles de usuario distintos para cada una de las finalidades.
En caso de que existan accesos al sistema de tratamiento de datos a través de redes de comunicaciones electrónicas o en remoto, se deberán aplicar en ellos las mismas medidas de seguridad que en los accesos locales.
2.5. Controles de acceso a la información en papel
A los documentos en papel que contengan datos personales únicamente podrán acceder los usuarios que lo necesiten para desempeñar sus funciones, de conformidad con los permisos que cada uno tenga autorizados. El resto de usuarios tienen prohibido el acceso a estos documentos.
Si un usuario necesita tratar documentos con datos personales, pero no tiene permiso para ello, debe solicitar la autorización previa del Contacto de Seguridad.
Las medidas de seguridad físicas juegan un papel tan importante como las medidas técnicas, en tanto que protegen los sistemas de un acceso físico no autorizado.
En este sentido, la empresa valorará la conveniencia de establecer sistemas de identificación del personal, definición de áreas de acceso restringido, sistemas de detección de intrusos o la instalación de barreras perimetrales, debiendo los usuarios respetar dichas medidas, en su caso.
Sólo el personal de informática podrá acceder a los lugares donde se encuentren ubicados los equipos físicos que dan soporte al sistema informático con el que se tratan dichos datos. El acceso a dicho lugar se encuentra limitado mediante llave, huella dactilar o mecanismo equivalente. El acceso a dichos locales por personas distintas debe efectuarse siempre bajo el control del Contacto de Seguridad.
Capítulo 3: Gestión de soportes informáticos y documentos
Este Apartado describe las condiciones en las que pueden utilizarse soportes informáticos portátiles – CDs, memorias portátiles, discos duros externos, ordenadores portátiles, etc. – y documentos en papel que contengan datos personales.
3.2. Medidas aplicables a todos los soportes y documentos
Las medidas de seguridad contenidas en este apartado deben aplicarse tanto a soportes informáticos como a documentos en papel, siempre que contengan datos personales.
3.2.1. Almacenamiento de soportes y documentos
Mientras no se esté trabajando con ellos, los usuarios deben guardar los soportes y documentos con datos personales en estancias, armarios, cajones u otros dispositivos que dispongan de cerradura con llave o mecanismo equivalente, de modo que sólo él o, en su caso, el resto de personas autorizadas, puedan acceder a ellos.
3.2.2. Borrado de datos. Desechado de documentos y soportes
El fin último en la destrucción o retirada de los dispositivos y soportes que contienen datos personales debe ser un borrado irreversible de los datos, para que no puedan ser recuperados.
Quien vaya a desechar documentos o soportes que contengan datos personales, debe, previamente, destruirlos o borrarlos, cumpliendo las siguientes premisas:
El usuario guardará reservadamente el documento o soporte hasta que lleve a cabo el borrado o destrucción.
La destrucción o borrado deben tener como resultado necesario la imposibilidad de acceder o reconstruir, siquiera parcialmente, la información.
Siempre que se cumpla el objetivo anterior, la destrucción se podrá hacer por medios manuales o, en su caso, por los medios mecánicos que la Entidad ponga a disposición de los usuarios.
Queda terminantemente prohibido depositar soportes o documentos no destruidos o borrados en la vía pública o lugares accesibles a personas no autorizadas.
Se recomienda seguir los siguientes procedimientos de destrucción o borrado, conforme a los estándares internacionales generalmente reconocidos:
SOPORTE | PROCEDIMIENTO | |
Papel o microfilm | Destruir | Trituradora en tiras o cuadrados de 2mm |
Móviles y PDAs | Borrar manualmente | Agenda, mensajes, llamadas y resetear a la configuración de fábrica |
Routers | Borrar manualmente | Tablas de encaminamiento, registros de actividad, cuentas de administración y resetear a la configuración de fábrica |
Impresoras y faxes | Borrar manualmente | Resetear a la configuración de fábrica |
Discos reescribibles | Formatear | Formateo de bajo nivel |
Discos de solo lectura | Destruir | Trituradora: 5mm |
Discos virtuales cifrados | Además de lo anterior | Destruir las claves |
El usuario que tenga conocimiento de la existencia de soportes o documentos que, debiendo ser destruidos o borrados, no lo hayan sido, lo comunicará de inmediato al Contacto de Seguridad, para que adopte las medidas oportunas para la destrucción.
3.3. Medidas especiales aplicables a documentos en papel
Además de las medidas previstas en el Apartado 3.2 anterior, cuando se traten documentos en papel que contengan datos personales, deben cumplirse las siguientes:
3.3.1. Documentos en tramitación o revisión
Durante el tiempo en que, por estar en revisión o tramitación, anterior o posterior a su archivo, los documentos con datos personales no se encuentren almacenados en las condiciones previstas en el Apartado 3.2.1, la persona que esté a su cargo los mantendrá permanentemente en su poder y bajo su vigilancia y control, impidiendo a terceros no autorizados acceder a ellos. El resto del tiempo, los documentos permanecerán guardados en los lugares mencionados en el apartado 3.2.1
Siempre que un usuario haya de imprimir documentos que incluyan datos personales, debe tener en cuenta las siguientes medidas:
Supervisará el proceso, con el fin de impedir que personas no autorizadas puedan visualizar los datos mientras se realiza la impresión.
Retirará los documentos de la impresora en cuanto sea posible y los guardará en un lugar seguro.
3.3.2. Ubicación de archivadores con datos de riesgo elevado
Los archivadores en los que se almacenen los documentos con datos cuyo tratamiento implique un riesgo elevado (conforme a lo previsto en el Registro de Actividades de Tratamiento) deben ubicarse en un área que disponga de puerta con llave propia o sistema equivalente. Dicha área debe permanecer cerrada mientras no sea necesario acceder a los documentos.
3.3.3. Copias o reproducciones de documentos con datos de riesgo elevado
Las copias o reproducciones de los documentos con datos cuyo tratamiento implique un riesgo elevado (conforme a lo previsto en el Registro de Actividades de Tratamiento) deben realizarse siempre con autorización del Contacto de Seguridad.
Cuando este tipo de documentos se trasladen, deben adoptarse las medidas necesarias para impedir el acceso indebido o la manipulación de la información.
En todo caso, si un usuario tuviera conocimiento de la existencia de documentos en papel con datos personales con respecto a los que no se cumplan las medidas de seguridad previstas en este Apartado 3.3 lo comunicará de inmediato al Contacto de Seguridad, para que adopte las medidas oportunas.
3.4. Medidas especiales aplicables a soportes informáticos
3.4.1. Usos permitidos de soportes informáticos
Como regla general, no está permitida a los usuarios la grabación de datos personales en soportes físicos o informáticos portátiles – CDs, memorias portátiles, discos duros externos, ordenadores portátiles, etc. –. Únicamente podrán tratar dichos datos en soporte papel y sólo si ello es necesario para el desempeño de sus funciones.
Excepcionalmente, se permite la grabación o utilización de datos personales en soportes informáticos portátiles cuando el usuario, necesitándolo para desempeñar sus funciones, solicite y obtenga una autorización del Contacto de Seguridad.
Adicionalmente, se podrán grabar datos personales en soportes informáticos portátiles en los siguientes supuestos:
Para la realización de copias de seguridad, por las personas encargadas de hacerlo.
La grabación de datos mediante las cámaras del sistema de videovigilancia.
Los usuarios que hayan sido autorizados para utilizar ordenadores portátiles, agendas electrónicas, tablets o dispositivos análogos.
La salida de soportes – CDs, memorias portátiles, discos duros externos, ordenadores portátiles, etc. – que contengan datos cuyo tratamiento implique un riesgo elevado (conforme a lo previsto en el Registro de Actividades de Tratamiento) se realizará cifrando dichos datos o utilizando cualquier otro mecanismo que garantice que dicha información no sea inteligible ni manipulada.
El tratamiento de datos cuyo tratamiento implique un riesgo elevado mediante soportes portátiles fuera de las instalaciones de la Entidad debe hacerse también cifrando los datos.
No se podrán enviar datos cuyo tratamiento implique un riesgo elevado por medios telemáticos (e-mail, Internet, etc.) sin autorización expresa del Contacto de Seguridad. Además, antes de efectuar cualquier comunicación de dichos datos mediante redes de telecomunicaciones, también deberá cifrarse la información.
En todo caso, se valorará la posibilidad de proceder al cifrado de datos personales con carácter previo a que salgan de las instalaciones de la entidad en soporte informático, aun cuando, por la naturaleza de los datos personales enviados y resto de circunstancias concurrentes, no exista un riesgo elevado.
Capítulo 4: Gestión de brechas de seguridad
Este apartado describe la forma de actuar en caso de que se produzca una brecha de la seguridad que afecte o pueda afectar a los datos personales.
Una brecha de seguridad es todo quebranto de la seguridad que ocasione o pueda ocasionar la destrucción, pérdida o alteración accidental o ilícita de datos personales tratados o la comunicación o acceso no autorizados a dichos datos. Por ejemplo, si se produjese una incidencia informática (virus, hacker, etc.) que pusiese en peligro la confidencialidad, integridad o disponibilidad de los datos personales.
Todos los usuarios tienen la obligación de comunicar al Contacto de Seguridad, lo antes posible, cualquier anomalía o evento que observen y que en su ejecución o desarrollo pueda afectar a la seguridad de la información tratada por la entidad, cualquiera que sea el soporte en que se encuentre, informático o en papel.
A tal fin, cuando un usuario detecte una brecha de seguridad (potencial o consumada), debe comunicarlo de modo inmediato al Contacto de Seguridad, con toda la información que conozca hasta ese momento.
Salvo que, excepcionalmente, las circunstancias lo impidan, la comunicación al Contacto de Seguridad se efectuará al correo electrónico monica@mueblestapatapa.com, incluyendo, al menos, la siguiente información:
Nombre, apellidos y puesto de la persona que efectúa la notificación.
En qué ha consistido la posible brecha de seguridad.
Fecha y hora en la que fue detectada.
Cuáles han sido sus efectos, potenciales o consumados.
Toda la información complementaria que se considere de interés.
El e-mail se remitirá con acuse de recibo, que deberá ser confirmado por el destinatario y conservado por el remitente como prueba del envío.
Capítulo 5: Protección de las comunicaciones
5.1. Uso del correo electrónico
El uso del correo electrónico queda limitado, estrictamente, al cumplimiento de las tareas laborales o profesionales que el usuario tenga asignadas, no pudiendo utilizarse para fines privados.
Se utilizará el correo electrónico corporativo, evitando, salvo que resulte imprescindible, el uso de otras cuentas de correo distintas.
5.2. Confidencialidad de los destinatarios del correo electrónico
Cuando se envíe un e-mail a varios destinatarios simultáneamente, para evitar que las direcciones de correo electrónico de cada uno de ellos sean visibles para los demás, dichas direcciones se incluirán siempre en el campo “CCO” (con copia oculta) del programa gestor de correo y nunca en el campo “Para”, ni en el campo “CC” (con copia).
5.3. Limpieza de los documentos
Cuando un documento electrónico deba ser enviado fuera de las instalaciones de la empresa, previamente, se debe retirar de él toda la información contenida en campos ocultos, metadatos, comentarios, revisiones anteriores, etc. salvo cuando dicha información sea pertinente para el receptor del documento. En los siguientes links se explica cómo eliminar esta información:
Documentos Adobe: https://helpx.adobe.com/es/acrobat/using/pdf-properties-metadata.html#edit_document_metadata
Esta medida es especialmente relevante cuando el documento vaya a difundirse ampliamente o entre varias personas.
Cuando se envíen datos personales a través de redes de telecomunicaciones (por ejemplo, a través del correo electrónico), el usuario deberá valorar la posibilidad de utilizar un método de encriptación para garantizar la confidencialidad de los datos personales en caso de acceso indebido a la información. En caso de que valore que es conveniente cifrar los datos, procederá al cifrado por sí mismo o con la asistencia del Contacto de Seguridad.
El servidor en el que se aloja la página web debe tener instalado un certificado SSL (Secure Sockets Layer). Ello asegura que la comunicación de datos personales a través de la web se hace de forma fiable, garantizando a los usuarios la identidad del sitio web y cifrando la información transmitida.
En todo caso, será obligatorio el previo cifrado de los datos cuyo tratamiento implique un riesgo elevado (conforme a lo previsto en el Registro de Actividades de Tratamiento).
Capítulo 6. Protección frente a código dañino y phishing
Se considera código dañino los virus, los gusanos, los troyanos, los programas espías, «spyware» y, en general, todo lo conocido como «malware».
El phishing es una técnica engañosa utilizada por los delincuentes para obtener información confidencial, como nombres de usuario, contraseñas y detalles de tarjetas de crédito, haciéndose pasar por una comunicación confiable y legítima.
Para prevenir estos ataques, antes de abrir correos electrónicos, ejecutar archivos informáticos o pulsar hipervínculos, los usuarios se asegurarán de los siguientes extremos:
Que dichas acciones estén relacionadas con el ejercicio de sus funciones laborales.
Que se identifique correctamente al remitente.
Los usuarios deben estar atentos a cualquier indicio de que en el sistema informático haya podido instalarse código dañino. Ante dicha sospecha, el usuario, como primera medida de prevención, desconectará el equipo de la red y lo apagará, comunicando inmediatamente la situación al Contacto de Seguridad para que se adopten las actuaciones oportunas.
PARTE ESPECIAL
Capítulo 1: Sistema de tratamiento
1.1. Objeto
1.2. Nuevos tratamientos y modificaciones en el sistema
1.3. Pruebas con datos reales
Capítulo 2: Controles de Acceso a la información (Parte especial)
2.1. Objeto
2.2. Controles de acceso a la información automatizada
2.3. Generación y distribución de contraseñas
2.4. Almacenamiento de las contraseñas
2.5. Renovación periódica de contraseñas
2.6. Otros controles de acceso
2.7. Limitación de intentos reiterados de acceso al sistema
2.8. Monitorización y registro de accesos
Capítulo 3: Tratamientos de datos por terceras personas o empresas
3.1. Objeto
3.2. Personal ajeno a la Entidad con acceso a datos
3.3. Personal ajeno a la Entidad sin acceso a datos personales
Capítulo 4: Gestión y notificación de brechas de seguridad (Parte especial)
4.1. Objeto
4.2. Desarrollo
Capítulo 5: Copias de Seguridad
5.1. Objeto
5.2. Procedimiento de copias de seguridad
Capítulo 6: Otras salvaguardas
6.1. Objeto
6.2. Relación de salvaguardas complementarias
6.2.1. Actualización de ordenadores, dispositivos y aplicaciones
6.2.2. Antivirus
6.2.3. Seguridad de las comunicaciones y cortafuegos
6.2.4. Opción de seudonimización o cifrado de los datos
6.2.5. Borrado automático de los datos
6.3. Cumplimiento de las salvaguardas complementarias
Capítulo 7: Revisión/auditoría de las medidas de seguridad
7.1. Objeto
7.2. Revisiones/auditorías puntuales
7.3. Revisiones/auditorías periódicas
Capítulo 8: Entrega de la documentación de protección de datos. Formación
8.1. Objeto
8.2. Entrega
8.3. Formación.
Esta Parte Especial debe ser entregada únicamente al Contacto de Seguridad y personal de informática, pero, como regla general, no al resto de usuarios de la entidad.
Sin embargo, excepcionalmente, también deben entregarse los siguientes Capítulos:
Capítulo 2. Controles de acceso a la información (Parte Especial): Debe entregarse a los usuarios con acceso a los ordenadores, cuando sean ellos mismos quienes elijan y cambien las contraseñas.
Capítulo 5. Copias de Seguridad: Debe entregarse a los usuarios encargados de hacer las copias de seguridad, cuando aquellos no coincidan con el Contacto de Seguridad o personal de informática.
También debe entregarse al Contacto de Seguridad el Anexo de este Documento, en el que consta en procedimiento que debe seguirse en caso de que se produzcan brechas de seguridad que pudieran afectar a los datos personales.
Capítulo 1: Sistema de tratamiento
Este Apartado describe el sistema mediante el cual se llevan a cabo los tratamientos de datos.
El software utilizado se describe en el apartado 1.5 de la “Parte General”.
Nuevos tratamientos y modificaciones en el sistema
El Contacto de Seguridad consultará previamente a Picón & Asociados Abogados cuando los usuarios deseen llevar a cabo tratamientos de datos personales distintos de los del ANEXO I de la Política de Protección de Datos Personales o utilizar plataformas de tratamiento de datos mediante computación en la nube.
El personal de informática, incluidas las compañías subcontratadas de servicios informáticos, deben informar al Contacto de Seguridad de los cambios que realicen en el sistema informático.
En todos los casos mencionados, Picón & Asociados Abogados informará sobre la legalidad de los nuevos tratamientos o sistemas de tratamiento de datos y asesorará sobre las medidas a adoptar.
La adecuada gestión de los medios del tratamiento, ya sean activos de hardware, software o recursos de red, es clave para garantizar la seguridad de los datos personales, al igual que todo cambio producido en estos y que debe estar perfectamente sincronizado, controlado y supervisado, para que, de modo accidental, no derive en una revelación, modificación o pérdida no autorizada de los datos personales tratados.
Las pruebas anteriores a la implantación o modificación de los sistemas de tratamiento no se realizarán con datos reales, salvo que se asegure la aplicación de todas las medidas de seguridad correspondientes al tipo de datos tratados.
Capítulo 2: Controles de Acceso a la información (Parte especial)
Este Apartado describe los controles existentes para que cada usuario acceda, únicamente, a los datos y recursos que necesite para el desempeño de sus funciones.
2.2. Controles de acceso a la información automatizada
Cada usuario dispone de un nombre de usuario y una contraseña que le identifican de forma inequívoca y personalizada en el acceso al sistema y verifican que se encuentra autorizado. Este sistema de identificación y autenticación se encuentra:
En las aplicaciones de gestión y contabilidad.
En el acceso al sistema operativo de los ordenadores.
Cada usuario tiene asignado un perfil o protocolo de acceso a datos, de forma tal que únicamente puede acceder a aquellos que necesita para ejercer sus funciones.
Se habilitarán perfiles con derechos de administración para la instalación y configuración del sistema y usuarios sin privilegios o derechos de administración para el acceso a datos personales.
2.3. Generación y distribución de contraseñas
La generación de contraseñas la realiza el Contacto de Seguridad.
Las contraseñas tendrán, al menos, 10 caracteres, incluyendo números, letras (mayúsculas y minúsculas) y símbolos.
La distribución de contraseñas la realiza el Contacto de Seguridad, quien las comunica verbalmente y de modo confidencial a cada usuario.
Los sistemas que realicen la identificación del usuario garantizarán que la introducción de la contraseña y su representación en pantalla, en el momento de la autenticación, se efectúan en un formato no legible para el resto de los usuarios.
2.4. Almacenamiento de las contraseñas
Las contraseñas se almacenan en formato ininteligible en el sistema informático donde se realiza la autenticación de usuarios, en cada caso. Sólo el Contacto de Seguridad podrá conocer y almacenar las contraseñas de los demás usuarios.
En caso de que dicho almacenamiento se produzca en soporte papel, el documento que las contenga deberá guardarse en un lugar sólo accesible al Contacto de Seguridad. En caso de que el almacenamiento se efectúe en archivo informático, dicho archivo deberá guardarse, a su vez, bajo contraseña sólo conocida por el Contacto de Seguridad.
2.5. Renovación periódica de contraseñas
Las contraseñas son renovadas por el propio usuario, al menos una vez al año y, además, toda vez que se sospeche que su confidencialidad ha sido comprometida.
2.6. Otros controles de acceso
Cuando el personal de la Entidad tenga que realizar trabajos que no impliquen acceso a datos personales, el Contacto de Seguridad debe adoptar las medidas adecuadas para limitar el acceso a dichos datos, a los soportes que los contengan o a los recursos del sistema de información.
2.7. Limitación de intentos reiterados de acceso al sistema
El sistema de usuario y contraseñas debe bloquearse cada vez que alguien intente reiteradamente el acceso no autorizado al sistema de información.
Se considera que existe un intento reiterado de acceso no autorizado cuando alguien introduzca 3 ó más veces un nombre de usuario o contraseña erróneos o falsos para acceder al sistema.
2.8. Monitorización y registro de accesos
Si es posible, se activará un registro de logs en los sistemas de información, para permitir la identificación y seguimiento de las acciones realizadas por los usuarios cuando acceden a los equipos en los que se realiza el tratamiento de datos personales, con el fin de identificar potenciales intentos de acceso no autorizado, tanto internos como externos, y como medida de responsabilidad proactiva en el caso de que se produzca un incidente de seguridad. De cada acceso que se produzca, se guardará, al menos, la identificación del usuario que haya accedido, la fecha y hora en que se realizó el acceso, el registro accedido y el tipo de acceso.
El Contacto de Seguridad supervisará directamente el correcto funcionamiento del registro de accesos, no permitiendo su desactivación o manipulación.
Capítulo 3: Tratamientos de datos por terceras personas o empresas
El objeto de este apartado es la identificación de los tratamientos de datos personales efectuados por terceros encargados del tratamiento y la indicación de las normas que han de cumplirse en estos casos.
3.2. Personal ajeno a la Entidad con acceso a datos
Las personas o entidades que acceden a los datos tratados en los sistemas de la Entidad en la prestación de sus servicios como proveedores externos (encargados del tratamiento) son:
Picón & Asociados Derecho y Nuevas Tecnologías, S.L. | NIF.- B-85397669 |
Descripción de los servicios. | Asesoramiento legal para el cumplimiento de la normativa sobre protección de datos personales. |
Datos a que accede. | Cualesquiera, en la medida en que sea necesario para la prestación del servicio. |
Delta Soft Desarrollo Software, S.L. | |
Descripción de los servicios. | Administración y mantenimiento informático del software de Gestión “Gesmobel”. |
Datos a que accede. | Clientes. Proveedores. |
Extra Software, S.A. | |
Descripción de los servicios. | Administración y mantenimiento informático del software de Contabilidad. |
Datos a que accede. | Clientes. Proveedores. |
Opción Jurídica | |
Descripción de los servicios. | Gestión de nóminas, seguros sociales y asesoramiento laboral. |
Datos a que accede. | Personal |
De Vicente y Cervantes, S.L.U. | |
Descripción de los servicios. | Asesoramiento fiscal y contable. |
Datos a que accede. | Clientes. Proveedores. |
D. Román Clemente Ruiz | |
Descripción de los servicios. | Servicios de almacenaje de mobiliario y entrega a clientes. |
Datos a que accede. | Clientes. |
SERMEPRESA | |
Descripción de los servicios. | Prevención de Riesgo Laborales. |
Datos a que accede. | Empleados. |
D. Fernando Romero Noria | |
Descripción de los servicios. | Marketing. |
Datos a que accede. | Clientes. |
EDENRED | |
Descripción de los servicios. | Tarjetas para empleados. |
Datos a que accede. | Empleados. |
Cada encargado del tratamiento tiene las facultades de acceso y tratamiento de datos personales que son estrictamente necesarias para la prestación de los servicios contratados. Las obligaciones que deben cumplir se encuentran recogidas en el contrato de prestación de servicios suscrito con cada uno de ellos en las condiciones exigidas por el artículo 28 RGPD. Se debe velar por que los encargados del tratamiento elegidos reúnan las condiciones necesarias para cumplir el RGPD, tanto en su elección como durante la prestación de sus servicios.
3.3. Personal ajeno a la Entidad sin acceso a datos personales
Cuando personal ajeno a la Entidad tenga que realizar trabajos que no impliquen acceso a datos personales, la Entidad debe solicitar a la empresa para la que trabajen que les exija que no accederán a los datos y, en su caso, que guardarán secreto respecto de los que hubieran podido conocer en la prestación de los servicios.
Capítulo 4: Gestión y notificación de brechas de seguridad (Parte especial)
4.1. Objeto
Este Apartado describe la forma de actuar ante las brechas de seguridad que afecten o puedan afectar a datos personales.
4.2. Desarrollo
Las brechas de seguridad que sean notificadas al Contacto de Seguridad se gestionarán conforme al procedimiento que consta al efecto en el ANEXO de este Documento.
Capítulo 5: Copias de Seguridad
Describir la forma en que se deben realizar las copias de seguridad.
5.2. Procedimiento de copias de seguridad
El procedimiento para realizar copias de seguridad es el siguiente:
Las copias de seguridad son efectuadas por el Contacto de Seguridad en un soporte informático externo tipo Pendrive con una periodicidad, al menos, semanal. El Pendrive es almacenado en una ubicación especifica bajo llave. Existen tres PenDrive, que se van alternando semanalmente para la realización de las copias. Además, se utiliza un cuarto PenDrive para copias mensuales.
Los soportes en los que se hacen las copias de seguridad se encuentran etiquetados de manera que pueda identificarse su contenido de forma clara y sencilla.
Las copias antiguas o caducas se van sobrescribiendo.
Asimismo, los propios programas de GESMOBEL y GESTOR OFFICE tienen su propia aplicación para realizar las copias de seguridad con una periodicidad, al menos, semanal.
Las copias de seguridad se deben guardar en un lugar diferente de aquél en que se encuentran los equipos informáticos con los ficheros originales, con el fin de permitir la recuperación de los datos en caso de pérdida de la información.
Periódicamente, el Contacto de Seguridad verificará el correcto funcionamiento de las copias de seguridad.
Como complemento a lo anterior, es recomendable que la entidad desarrolle un plan de continuidad de negocio, que describa los procedimientos que debe seguir si se produjese un incidente o brecha de seguridad que afectase a los datos personales, con objeto de que se pueda restaurar la disponibilidad y el acceso a ellos de forma rápida.
Capítulo 6: Otras salvaguardas
Describir una serie de medidas técnicas complementarias que permitan la salvaguarda de los datos personales.
6.2. Relación de salvaguardas complementarias
Se exponen a continuación el resto de salvaguardas que la Entidad debe implementar en su sistema informático, para garantizar la seguridad de los datos personales que se traten en él.
6.2.1. Actualización de ordenadores, dispositivos y aplicaciones
Los dispositivos, ordenadores y aplicaciones utilizados para el almacenamiento y tratamiento de los datos personales deberán mantenerse actualizados.
Si es posible, se impedirá que los usuarios puedan instalar nuevas aplicaciones o desinstalar o alterar las existentes.
En los ordenadores y dispositivos en los que se realicen tratamientos de datos personales se instalará un sistema antivirus que garantice, en la medida de lo posible, el robo y destrucción de la información. El antivirus se actualizará periódicamente y, si es posible, a diario. Los usuarios no podrán desactivar el antivirus.
6.2.3. Seguridad de las comunicaciones y cortafuegos
Debe valorarse la necesidad de asegurar las comunicaciones, tanto hacia Internet como en la interconexión con otros sistemas internos o externos, mediante la instalación de sistemas de detección de intrusión y segregación de redes.
Para evitar accesos remotos indebidos a los datos, se instalará un cortafuegos, que permanecerá activado, al menos, en los ordenadores y dispositivos en los que se realice el tratamiento o almacenamiento de datos personales.
6.2.4. Opción de seudonimización o cifrado de los datos
Cuando los datos vayan a salir fuera de las instalaciones en las que habitualmente se realice su tratamiento, se deberá valorar la posibilidad de seudonimizarlos o utilizar previamente un método de encriptación, para garantizar la confidencialidad de los datos personales en caso de acceso indebido a la información.
6.2.5. Borrado automático de los datos
Debe valorarse la implementación de políticas automáticas de borrado de la información para asegurar que los datos no se conservan más allá del tiempo necesario en relación con el propósito para el que fueron recabados.
6.3. Cumplimiento de las salvaguardas complementarias
El Contacto de Seguridad velará por que las salvaguardas complementarias mencionadas en este Capítulo 6 se implanten y se mantengan activas, solicitando, en caso necesario, auxilio de quienes estén encargados del mantenimiento del sistema informático.
Capítulo 7: Revisión/auditoría de las medidas de seguridad
Este Apartado describe la forma y periodicidad con que deben hacerse revisiones o auditorías de las medidas y procedimientos establecidos en la presente Política de Seguridad.
7.2. Revisiones/auditorías puntuales
El Contacto de Seguridad deberá revisar y, en su caso, modificar las medidas de seguridad que figuran en este Documento cada vez que se produzca alguna de las circunstancias siguientes:
Cambios en la legislación vigente.
Evolución de las actividades de la entidad.
Resultados de las revisiones y análisis de riesgos efectuados.
Defectos encontrados en la aplicación de procedimientos y medidas existentes.
7.3. Revisiones/auditorías periódicas
El Contacto de Seguridad debe revisar y, en su caso, modificar las medidas de seguridad que figuran en este Documento, al menos, una vez al año y, además, cada vez que se produzcan cambios relevantes en el sistema de información o los recursos protegidos.
Las revisiones/auditorías tienen el objeto de comprobar el cumplimiento de las medidas y procedimientos de seguridad establecidos. Además, se realizará una revisión/auditoría cuando se produzcan modificaciones sustanciales en el sistema de tratamiento de datos que puedan repercutir en el cumplimiento de dichas medidas.
Si así se desea, en el marco de los servicios de un contrato de mantenimiento o puntualmente, Picón & Asociados Abogados podrá efectuar las revisiones/auditorías.
Los resultados de la revisión/auditoría se reflejarán en un Informe que se pronunciará sobre la adecuación de las medidas y controles, identificará las deficiencias y propondrá las medidas correctoras o complementarias necesarias.
El Contacto de Seguridad analizará el Informe de Revisión/Auditoría y lo elevará a la Dirección de la Entidad para la adopción de las medidas correctoras adecuadas.
Capítulo 8: Entrega de la documentación de protección de datos. Formación
Este Apartado describe el modo de entrega de la Política de Seguridad y de la Política de Protección de Datos a los empleados y demás personal al servicio de la entidad.
El Contacto de Seguridad hará entrega a todos los usuarios con acceso a datos de la Política de Protección de Datos, de la Parte General de la Política de Seguridad y de los correspondientes ANEXOS. Asimismo, en su caso, entregará la Parte Especial de la Política de Seguridad a aquellos usuarios que deban conocerla, según lo indicado en la introducción de esta Parte Especial.
Cada usuario debe asumir un compromiso de cumplimiento de la Política de Protección de Datos y de la Política de Seguridad mediante la firma de un documento que le debe ser entregado al efecto por el Contacto de Seguridad o el responsable de recursos humanos de la Entidad.[1]
Cuando se elaboren nuevas versiones o actualizaciones de la Política de Protección de Datos y de la Política de Seguridad, el Contacto de Seguridad notificará su existencia a los usuarios, poniéndolas a su disposición a través de e-mail o de la intranet. En estos casos, los usuarios deberán firmar el correspondiente recibí de la notificación.[2]
Para una efectiva implantación de las medidas técnicas y organizativas, el personal de la organización debe recibir formación periódica y actualizada en relación a los procedimientos de protección de datos personales y seguridad definidos y, en particular, los relativos a las restricciones en la comunicación y divulgación de datos personales, la protección del acceso a estos por parte de terceros no autorizados mediante medidas de almacenamiento seguro, bloqueo de sesiones, cierre de despachos, etc. así como la destrucción segura de documentos y soportes.
[1] El modelo de dicho documento se incluye en la letra c) del Libro Registro de Cláusulas y Contratos.
[2] El modelo de dicho documento se incluye en la letra e) del Libro Registro de Cláusulas y Contratos.