Medidas de Seguridad en el nuevo Reglamento de la LOPD (RD 1720/2007)

Esta usted en: Protección de datos > Módulos > Medidas de Seguridad en el nuevo Reglamento de la LOPD (RD 1720/2007)

Medidas de Seguridad en el nuevo Reglamento de la LOPD (RD 1720/2007)

Medidas de Seguridad a Nivel Básico

Artículo 91. Control de acceso.
1. Los usuarios tendrán acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones.

¿Cómo lo soluciona TS-SEGURIDAD?

Desde TS-SEGURIDAD se puede crear directamente el perfil del usuario de Windows, pudiendo delimitar todas las funciones que queramos por usuario.

2. El responsable del fichero se encargará de que exista una relación actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos.

¿Cómo lo soluciona TS-SEGURIDAD?

La lista de usuarios con sus perfiles y contraseñas queda archivada en TS-SEGURIDAD, únicamente accesible por el administrador o administradores.

3. El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados.

Nos remitimos al primer punto del artículo.

4. Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los recursos, conforme a los criterios establecidos por el responsable del fichero.

¿Cómo lo soluciona TS-SEGURIDAD?

La lista de usuarios con sus perfiles y contraseñas queda archivada en TS-SEGURIDAD, únicamente accesible por el administrador o administradores.

5. En caso de que exista personal ajeno al responsable del fichero que tenga acceso a los recursos deberá estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio.

¿Cómo lo soluciona TS-SEGURIDAD?

Se puede crear directamente el perfil del usuario de Windows, pudiendo delimitar todas las funciones que queramos por usuario. Incluso en conexiones remotas tipo Terminal Server.

Artículo 92. Gestión de soportes y documentos.

1. Los soportes y documentos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y solo deberán ser accesibles por el personal autorizado para ello en el documento de seguridad.

TS-SEGURIDAD incorpora una consola de encriptación que combinada con el control de usuarios que consigue que solo puedan acceder al documento o archivos al personal autorizado para ello.

2. La salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos y/o anejos a un correo electrónico, fuera de los locales bajo el control del responsable del fichero o tratamiento deberá ser autorizada por el responsable del fichero o encontrarse debidamente autorizada en el documento de seguridad.

3. En el traslado de la documentación se adoptarán las medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte.

TS-SEGURIDAD permite encriptar y bloquear todo tipo de documentos en incluso carpetas por lo que en caso de que estas ser extraviaran durante su transporte en algún soporte magnético no podrían ser accesibles por terceros.

4. La identificación de los soportes que contengan datos de carácter personal que la organización considerase especialmente sensibles se podrá realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido, y que dificulten la identificación para el resto de personas.

Artículo 93. Identificación y autenticación.

1. El responsable del fichero o tratamiento deberá adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios.

TS-SEGURIDAD, al crear el usuario la contraseña de identificación es única y personalizada, pudiéndose incluso configurar el periodo de inactividad del equipo de proceso para que vuelva a solicitar dicha contraseña.

2. El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.

3. Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad.

TS-SEGURIDAD guarda dichas contraseñas en base de datos encriptada sin posibilidad de acceso por terceros.

4. El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras estén vigentes, se almacenarán de forma ininteligible.

TS-SEGURIDAD, permite incorporar los días que el responsable quiere dar de vigencia a las contraseñas y guarda dichas contraseñas en base de datos encriptada sin posibilidad de acceso por terceros.

Medidas de seguridad a nivel medio

Artículo 97. Gestión de soportes y documentos.

1. Deberá establecerse un sistema de registro de entrada de soportes que permita, directa o indirectamente, conocer el tipo de documento o soporte, la fecha y hora, el emisor, el número de documentos o soportes incluidos en el envío, el tipo de información que contienen, la forma de envío y la persona responsable de la recepción que deberá estar debidamente autorizada.

TS-SEGURIDAD permite incorporar el control de accesos al documento cifrado, por lo que tendremos constancia del acceso al mismo en fecha hora y usuario y al ir cifrado si la persona que ha de decepcionarlo no tiene la contraseña no podrá utilizarlo.

2. Igualmente, se dispondrá de un sistema de registro de salida de soportes que permita, directa o indirectamente, conocer el tipo de documento o soporte, la fecha y hora, el destinatario, el número de documentos o soportes incluidos en el envío, el tipo de información que contienen, la forma de envío y la persona responsable de la entrega que deberá estar debidamente autorizada.

Artículo 98. Identificación y autenticación.

El responsable del fichero o tratamiento establecerá un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información.

TS-SEGURIDAD permite limitar los intentos fallidos a la validación del sistema de información.

Medidas de seguridad de nivel alto

Artículo 101. Gestión y distribución de soportes.

1. La identificación de los soportes se deberá realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido, y que dificulten la identificación para el resto de personas.

TS-SEGURIDAD permite encriptar y bloquear todo tipo de documentos incluso en carpetas por lo que en caso de que estas ser extraviaran durante su transporte en algún soporte magnético no podrían ser accesibles por terceros.

2. La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o manipulada durante su transporte.

Asimismo, se cifrarán los datos que contengan los dispositivos portátiles cuando éstos se encuentren fuera de las instalaciones que están bajo el control del responsable del fichero.

3. Deberá evitarse el tratamiento de datos de carácter personal en dispositivos portátiles que no permitan su cifrado. En caso de que sea estrictamente necesario se hará constar motivadamente en el documento de seguridad y se adoptarán medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos.

Artículo 102. Copias de respaldo y recuperación.

Deberá conservarse una copia de respaldo de los datos y de los procedimientos de recuperación de los mismos en un lugar diferente de aquel en que se encuentren los equipos informáticos que los tratan, que deberá cumplir en todo caso las medidas de seguridad exigidas en este título, o utilizando elementos que garanticen la integridad y recuperación de la información, de forma que sea posible su recuperación.

TS-SEGURIDAD permite encriptar y bloquear todo tipo de documentos incluso carpetas por lo que en caso de que estas ser extraviaran durante su transporte en algún soporte magnético no podrían ser accesibles por terceros.

Artículo 103. Registro de accesos.

1. De cada intento de acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.

TS-SEGURIDAD incorpora un registro de accesos en el guarda toda la información que solicita dicho punto.

2. En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido.

TS-SEGURIDAD siempre y cuando no sea una aplicación creada por terceros, no guarda el registro al que se ha accedido.

3. Los mecanismos que permiten el registro de accesos estarán bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivación ni la manipulación de los mismos.

Con TS-SEGURIDAD, a la consola de administración de la aplicación solo tienen acceso las personas autorizadas en la aplicación.

4. El período mínimo de conservación de los datos registrados será de dos años.

TS-SEGURIDAD permite configurar el periodo que queremos guardar los datos registrados.

5. El responsable de seguridad se encargará de revisar al menos una vez al mes la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados.

TS-SEGURIDAD tiene todo tipo de informes que además son exportables a formato XML para ser tratados por cualquier producto ofimático, para incorporarlo de manera automática al documento de seguridad.

Artículo 104. Telecomunicaciones.

Cuando, conforme al artículo 81.3 deban implantarse las medidas de seguridad de nivel alto, la transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.