ACUERDO CEAV/PLENO/2015/051/05 Atención a Víctimas.€¦ · ACUERDO CEAV/PLENO/2015/051/05 1...

ACUERDO CEAV/PLENO/2015/051/05

1

"2015, Año del Generalísimo José María Morelos y Pavón"

México, D.F., a 22 de diciembre de 2015. ACUERDO DEL PLENO por el que aprueban las Recomendaciones sobre los Estándares Mínimos de Seguridad, aplicables a los registros de víctimas que se encuentren en poder de las instituciones que integran el Sistema Nacional de Atención a Víctimas. EL PLENO de la Comisión Ejecutiva de Atención a Víctimas, con fundamento en los artículos 88, fracción XXVI; 89 y 95 fracción IX de la Ley General de Víctimas; 25 fracciones IV y V; 32 y 35 primer párrafo del Reglamento de la Ley General de Víctimas; 28 Estatuto Orgánico de la Comisión Ejecutiva de Atención a Víctimas, y

CONSIDERANDO Que la Comisión Ejecutiva de Atención a Víctimas tiene entre sus funciones y facultades, crear una plataforma que permita integrar, desarrollar y consolidar la información sobre las víctimas a nivel nacional a fin de orientar políticas, programas, planes y demás acciones en favor de las víctimas; así como establecer las directrices para alimentar de información el Registro Nacional de Víctimas y que para ello dictará los Lineamientos para la transmisión de información de las instituciones que forman parte del Sistema Nacional de Víctimas; Que dichos Lineamientos para la transmisión de información al Registro Nacional de Víctimas, fueron publicados en el Diario Oficial de la Federación el 20 de febrero de 2015, señalando en su numeral Vigésimo segundo que la Comisión Ejecutiva emitirá anualmente las recomendaciones sobre los estándares mínimos de seguridad, aplicables a los registros de víctimas que se encuentren en poder de las instituciones que integran el Sistema Nacional de Atención a Víctimas y determinará, en su caso, el nivel de protección que amerite la naturaleza de los datos de las víctimas; Que la Dirección General del Registro Nacional de Víctimas cuenta entre sus atribuciones, las de proponer al Pleno de la Comisión Ejecutiva, a través del Comisionado Presidente los mecanismos para resguardar la información relacionada al padrón de víctimas a nivel nacional; ejecutar los acuerdos del Comisionado Presidente tendentes a la integración y preservación de la información administrada y sistematizar el Registro, recabar de los integrantes del Sistema Nacional de Atención a Víctimas, la información en materia de víctimas que estén obligados a proporcionar, y administrar el padrón de víctimas a nivel nacional;


2

Que en cumplimiento de lo establecido en el Transitorio QUINTO de los Lineamientos para la transmisión de información al Registro Nacional de Víctimas, las primeras recomendaciones sobre las medidas de seguridad serán emitidas por la Comisión Ejecutiva de Atención a Víctimas dentro de los primeros diez días hábiles de diciembre de 2015, por lo que he tenido a bien expedir el siguiente:

ACUERDO

ÚNICO: Se aprueban las Recomendaciones sobre los Estándares Mínimos de Seguridad, aplicables a los registros de víctimas que se encuentren en poder de las instituciones que integran el Sistema Nacional de Atención a Víctimas en los siguientes términos:

RECOMENDACIONES SOBRE LOS ESTÁNDARES MÍNIMOS DE SEGURIDAD, APLICABLES A LOS REGISTROS DE VÍCTIMAS QUE SE ENCUENTREN EN PODER DE LAS INSTITUCIONES QUE INTEGRAN EL SISTEMA NACIONAL DE ATENCIÓN A VÍCTIMAS

I. Objeto de las recomendaciones

Las presentes recomendaciones sobre los estándares mínimos de seguridad, aplicables a los registros de víctimas que se encuentren en poder de las instituciones que integran el Sistema Nacional de Atención a Víctimas se emiten en cumplimiento del Vigésimo Segundo de los Lineamientos para la transmisión de información al Registro Nacional de Víctimas y con la finalidad de contribuir a la determinación del nivel de protección que dicha información amerita por la naturaleza sensible de los datos de las víctimas. Atentos a lo anterior, el presente documento compila y propone una serie de recomendaciones iniciales de carácter general, así como medidas administrativas, físicas y técnicas de seguridad, aplicables a los registros de víctimas con la finalidad impulsar la adecuada protección de la información de las víctimas contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado y para lograr la homologación de aspectos técnicos asociados a la transmisión de dicha información en su integración al Registro Nacional de Víctimas.

II. Responsables de los registros de víctimas

En términos de lo dispuesto por el Octavo de los Lineamientos para la transmisión de información al Registro Nacional de Víctimas, se deberán adoptar las medidas


3

necesarias en atención a la sensibilidad de los datos personales tratados, para garantizar la integridad, confiabilidad, confidencialidad y disponibilidad de los datos de las víctimas mediante acciones que eviten su alteración, pérdida, transmisión y acceso no autorizado. Para lo anterior las instituciones integrantes del Sistema Nacional de Atención a Víctimas (SNAV) que obtengan, adquieran, transformen o conserven información relacionada con víctimas y su proceso de atención, deberán protegerla conforme a las disposiciones que resulten aplicables en materia de protección de datos personales. Asimismo, atentos a lo previsto en el vigésimo, fracción I de los Lineamientos para la transmisión de información al Registro Nacional de Víctimas, deberán nombrar un responsable de los registros de víctimas que operen y comunicarlo a la Comisión Ejecutiva de Atención a Víctimas, con la finalidad de integrar un padrón y directorio interinstitucional de responsables de información victimal así como para establecer acciones para la migración de dicha información al Registro Nacional de Víctimas. Cada institución integrante del SNAV adoptará medidas para que las presentes recomendaciones sean conocidas y difundidas a su interior, particularmente, que se socialicen con aquellas personas que debido a sus funciones y atribuciones, tengan directamente bajo su resguardo y operación, registros de víctimas de delito y de violaciones a derechos humanos.

III. Nivel de seguridad aplicable a los registros de víctimas

Los registros de víctimas incorporan datos personales sensibles que pueden afectar la esfera más íntima de sus titulares por lo que la utilización indebida de dicha información puede implicar un riesgo grave para para las víctimas, sus núcleos familiares y su entorno.

Esta información sensible se contiene en medios físicos y en medios digitales; los registros de víctimas en medios físicos son todo el conjunto ordenado de datos que para su tratamiento están organizados en expedientes, registros, manuales, impresos, u otros de naturaleza análoga, por otro lado, los registros de víctimas contenidos en medios digitales son el conjunto ordenado de datos que para su tratamiento han sido o están sujetos a un almacenamiento y uso informático, por tanto requieren de una herramienta o dispositivo tecnológico específico para su acceso, recuperación o tratamiento.

Cada institución integrante del SNAV que genere, obtenga, adquiera, transforme o conserve información relacionada con víctimas de delito y de violaciones a derechos


4

humanos, o bien, información relacionada con su proceso de atención integral, aplicará a dicha información las medidas de seguridad que resulten pertinentes.

En ese sentido, toda vez que los registros de víctimas recopilan diversos elementos de información considerada sensible, se recomienda implementar medidas de seguridad en función de un análisis de riesgo realizado a los registros de víctimas y a los activos que los soportan y conforme a las disposiciones que resulten aplicables en materia de protección de datos personales.

IV. Medidas de seguridad

Para establecer condiciones que permitan el adecuado resguardo, tratamiento y transmisión de información relacionada con víctimas de delito o de violaciones a derechos humanos, cada institución integrante del SNAV instrumentará medidas de seguridad, entendidas éstas como el conjunto de acciones, actividades, controles o mecanismos administrativos, técnicos y físicos que permitan proteger la información relativa a las víctimas y a su proceso de atención integral.

� Medidas de seguridad de tipo administrativo: Se recomienda que cada institución integrante del SNAV establezca a su interior, un conjunto de políticas y procedimientos orientados a la mejora continua de la gestión, soporte y revisión de la seguridad de la información a nivel organizacional.

� Medidas de seguridad técnicas: Desde un enfoque técnico, se recomienda instrumentar acciones y mecanismos que a partir de las facilidades tecnológicas asociadas a hardware y software permitan proteger el entorno informático y de sistemas de los datos personales y los recursos involucrados en su tratamiento.

� Medidas de seguridad físicas: Se recomienda prever un conjunto de acciones y mecanismos para proteger el entorno físico de los datos personales y de los recursos involucrados en su tratamiento.

Entre las medidas susceptibles de ser adoptadas se señalan de forma enunciativa, más no limitativa, las siguientes:

1. Recomendaciones iniciales

� Diseñar y emitir directrices de operación sobre la gestión y tratamiento de la información contenida en los registros de víctimas en las cuales se definan los perfiles y funciones del personal que participa en el tratamiento de dicha información.

� Elaborar un inventario de datos personales asociados a registros de víctimas y de los sistemas y medidas de seguridad que se aplican en cada caso con la finalidad de realizar un análisis de riesgo respecto de los registros de víctimas,


5

considerando las amenazas y vulnerabilidades existentes y los recursos involucrados en su tratamiento, como pueden ser hardware, software, personal responsable, entre otros.

� Realizar un análisis de brecha, comparando las medidas de seguridad existentes contra los lineamientos, directrices y normativas emitidas por el INAI y por los órganos garantes. A partir de la realización del análisis de brecha, se recomienda diseñar e instrumentar un plan de trabajo para la implementación de las medidas de seguridad faltantes, así como las medidas para el cumplimiento cotidiano de las políticas de gestión y tratamiento de los datos personales.

� Realizar un monitoreo periódico de las medidas de seguridad implementadas, así como las amenazas y vulneraciones a las que están sujetos los registros de víctimas.

� Diseñar y aplicar una política de capacitación continua para todas las personas que participan en el tratamiento de los archivos de víctimas.

2. Recomendaciones sobre medidas de seguridad para registros de víctimas en soportes físicos

Verificar que existe la infraestructura mínima necesaria y diseñar procesos y procedimientos necesarios para mantener organizados y seguros los registros de víctimas de delitos y de violaciones a derechos humanos, así como la información integrada a éstos.

El personal autorizado que labora directamente en las áreas donde operan los registros de víctimas deberá ostentar una identificación con fotografía emitida por la dependencia o entidad, que los identifica de manera clara como personal adscrito a dichas áreas.

Establecer condiciones de señalización para que cualquier persona pueda identificar con facilidad al personal autorizado que labora en las áreas de registros de víctimas gracias a que los nombres completos y fotografías de dicho personal se exhiben en un lugar visible dentro y fuera de dicha área.

3. Recomendaciones sobre medidas de seguridad en los lugares donde se resguardan los registros de víctimas

Establecer restricciones de acceso y definir procedimientos para atender la presencia de personas no autorizadas en las áreas en que operen los registros de víctimas.


6

De existir ventanas o muros divisorios transparentes en el área de resguardo de los registros de víctimas, se recomienda que la visión esté obstruida mediante película translucida que impida tomar fotografías desde el exterior.

En las áreas donde se resguarde la información física o digital de los registros de víctimas deberán existir condiciones climáticas idóneas para preservar en buen estado los datos.

La puerta de acceso al área donde se resguarde la información de los registros de víctimas contará con cerraduras, dispositivos electrónicos o cualquier otra tecnología que impida su libre apertura.

Las áreas donde se resguarde la información de los registros de víctimas quedará cerrada en horas no hábiles o cuando el personal autorizado que ahí labora abandona dichas áreas.

Se contará con mobiliario de resguardo que permita la protección de los registros de víctimas de condiciones adversas en humedad, temperatura, iluminación solar, polvo, consumo de alimentos y presencia de plagas, entre otras.

El mobiliario utilizado para almacenar los registros de víctimas en soportes físicos contará con cerraduras, dispositivos electrónicos o cualquier otra tecnología que impida la libre apertura de sus puertas, cajones o compartimientos.

Se restringe el libre acceso y el uso de aquellos aparatos informáticos que puedan ser utilizados como medios para la sustracción de información dentro las áreas donde se contengan los registros de víctimas.

4. Recomendaciones sobre medidas de seguridad para acceso y consulta de datos personales por sus titulares o representantes, contenidos en registros de víctimas

Se encuentra en operación puntos de revisión en donde el personal de vigilancia controle el acceso y verifique la identidad de quienes tienen el propósito de visitar las áreas donde se contienen los registros de víctimas.

Las personas que tienen intención de visitar las áreas donde se contienen los registros de víctimas se registren y entregan una identificación oficial con fotografía.

Los responsables de los registros de víctimas son quienes autorizan la entrada al área a los visitantes debidamente registrados.


7

5. Recomendaciones sobre medidas de seguridad para para la prevención de intrusiones

El personal autorizado que labora donde se contienen los registros de víctimas verifica durante el desempeño de sus funciones que en dichas áreas no hay personas no autorizadas.

El personal de vigilancia realiza funciones de forma permanente en los lugares donde se contengan los registros de víctimas.

Los equipos de cómputo están provistos de la tecnología necesaria y suficiente para verificar la identidad de los usuarios que laboran en las áreas donde se contienen los registros de víctimas. Ello implica que, mediante la verificación de claves de acceso, dicho usuario accede al equipo para interactuar con el registro de víctimas de que se trate.

Se cuente con un sistema de vídeo-vigilancia remoto que permita vigilar el acceso y el interior de las áreas donde se contienen los registros de víctimas.

Será deseable que dicho sistema cuente con cámaras para visión nocturna y un sistema de grabación que opere las 24 horas, los 7 días de la semana así como con un sistema de grabación que permita revisar dos meses anteriores.

En caso de ocurrir un incidente de intrusión, el personal de vigilancia acudirá de inmediato a donde se contienen los registros de víctimas para corroborar el hecho. De comprobarse este, la grabación realizada por el sistema de vídeo-vigilancia remota se transfiera a un soporte físico para que pueda ser utilizada como prueba por las autoridades que investiguen el caso.

6. Recomendaciones sobre medidas de seguridad para el registro de actividades

Los responsables de los registros de víctimas mantienen control y registro de:

� Las autorizaciones emitidas para facultar a un servidor público como usuario para interactuar con los registros de víctimas, ya sea que dicho servidor público lo haga en el área del registro o desde otro lugar distinto.

� La asignación, actualización y reemplazo de llaves, tarjetas, contraseñas de acceso y demás elementos que entregue a los usuarios para que éstos puedan abrir los mecanismos de apertura de puertas y mobiliario en los registros de víctimas.

� Las autorizaciones emitidas a los usuarios y visitantes debidamente registrados que solicitan acceso al área donde se contenga el registro. Para ello, anota:


8

a) Quién solicita el acceso;

b) Cuándo lo solicita;

c) Cuándo se lleva a cabo, y

d) La razón que lo motiva.

7. Recomendaciones sobre medidas de seguridad en caso de incidentes

En caso de presentarse un incidente, se seguirá el procedimiento que la dependencia o entidad tenga definido. En caso de que dicho procedimiento no lo incluya, además, se recomienda llevar a cabo las siguientes actividades:

� El responsable del personal de vigilancia emite un informe al Responsable los registros de víctimas a no más de 3 días naturales de haber ocurrido el incidente.

� En caso de comprobarse el robo o el extravío de datos personales contenidos en los registros de víctimas contenidos en soportes electrónicos, el Titular de la dependencia o entidad o el Responsable de del registro de víctimas, a no más de 5 días naturales de haber ocurrido el incidente, realizará la denuncia penal ante las autoridades competentes y, en su caso, también la denuncia administrativa.

8. Recomendaciones sobre medidas de seguridad para la transmisión de información contenida en registros de víctimas

La transmisión de datos de víctimas en soportes físicos al interior de la dependencia o entidad se realiza mediante la vía elegida, de común acuerdo, entre las partes: mensajero interno, asistente secretarial, visita personal, etc.

Los paquetes con datos personales en soportes físicos viajen debidamente sellados, de forma tal que sea perceptible cualquier violación o apertura no autorizada de los mismos.

La entrega de paquetes se realiza sólo si el destinatario autentica su identidad. Para ello, el destinatario presenta una identificación oficial con fotografía (credencial de elector, pasaporte, etc.) y el mensajero recaba nombre, firma y un número de referencia que aparezca en tal identificación además de la fecha de entrega.

Los mensajeros no realizan la entrega de paquetes si el destinatario no puede autenticar su identidad. En este caso, es imperativo que el mensajero regrese dicho paquete al transmisor.


9

El Responsable de los registros de víctimas verifica que el mensajero entregó el paquete al destinatario. Si el transmisor detecta que dicho paquete fue entregado a otra persona, da inicio al proceso de atención de un incidente.

La información contenida en los registros de víctimas que son enviados a un destinatario autorizado en formato electrónico para manipularlos o procesarlos será sometida a un proceso de preparación previa a la transmisión. En este caso, el encargado que realiza dicho proceso:

� Genera archivos electrónicos que contengan los datos personales solicitados en un formato que permita al destinatario efectuar las operaciones que requiera.

� Somete dichos archivos a un proceso de encriptación que los proteja durante su trayecto.

� Se recomienda que los datos personales que son enviados a un destinatario con autorización para manipularlos o procesarlos no son reintegrados al registro de víctimas de donde fueron extraídos, a menos que el destinatario haya efectuado una corrección solicitada por el Titular de los datos.

9. Recomendaciones sobre medidas de seguridad para prevención de intrusiones informáticas desde el exterior

Existen dispositivos de alta seguridad instalados en caso de que la red de comunicación electrónica (que conecta los servidores que contienen los datos personales con las computadoras que se utilizan para acceder a ellos) esté conectada a Internet.

Los dispositivos instalados incluyen sistemas de protección perimetral (cortafuegos), de detección de intrusos, de prevención de intrusiones y de análisis de protocolos.

Se aplican las medidas necesarias y suficientes para que los puntos de acceso inalámbrico a la red de comunicación electrónica de la dependencia o entidad sean seguros y no existan huecos que puedan ser aprovechados por intrusos.

El área de seguridad o el Responsable de los registros de víctimas, en coordinación con el área de sistemas, realiza análisis de vulnerabilidades y pruebas de intrusión controladas en la infraestructura de cómputo, almacenamiento y comunicaciones. El propósito de esta actividad es aplicar las medidas correctivas necesarias a fin de cerrar las vulnerabilidades encontradas y así evitar posibles incidentes de intrusión.


10

El responsable del registro de víctimas mantiene estricto control y registro de las autorizaciones emitidas a destinatarios que han solicitado que los datos personales en soportes electrónicos les sean transmitidos en un formato que permita manipularlos o procesarlos.

10. Recomendaciones sobre medidas de seguridad para equipos de cómputo que se utilicen en las áreas donde se contengan los registros de víctimas

Las computadoras asignadas para uso en las áreas donde se contengan los registros de víctimas, sean nuevas o usadas, pasan por un proceso de preparación inicial a fin de instalarle solamente software autorizado, configurado para brindar mayor seguridad que la predeterminada por el fabricante.

Se cuenta con una lista de software autorizado para computadoras asignadas a áreas en las que operen los registros de víctimas. Dicho listado es un documento que prepara y actualiza el área de sistemas de la dependencia o entidad en coordinación con el Responsable de los registros de víctimas según las necesidades y las funciones que desempeña el personal.

Existen controles sobre las personas autorizadas para realizar el proceso de preparación inicial de equipos de cómputo asignados a las áreas donde se operan registros de víctimas.

Las computadoras están aseguradas físicamente para evitar el robo del gabinete o la sustracción de piezas o partes. Para tal propósito, los equipos se protegerán con candados o cualquier otro dispositivo que impida la manipulación del gabinete y el acceso físico al interior del equipo.

Están deshabilitados o cancelados los puertos de comunicación (USB, paralelo, serial, etc.) que no se utilizan. Los cables o dispositivos conectados a los puertos que sí se utilizan están asegurados para evitar su desconexión. Las cancelaciones pueden ser abiertas por personal autorizado del área de sistemas.

Están deshabilitados o cancelados los dispositivos de almacenamiento removible (unidades de disco flexible, quemadores de CD/DVD, etc.). Las cancelaciones pueden ser abiertas por personal de sistemas.

Se limita la utilización de dispositivos de conexión inalámbrica (Wi-Fi, Bluetooth, infrarrojo, etc.) en las computadoras asignadas dentro de las áreas en las que operen los registros de víctimas.

El responsable de los registros de víctimas supervisa y verifica que las computadoras cumplan con los requerimientos de instalación establecidos y las configuraciones de seguridad definidas.


11

Cuando se presenta una falla en una computadora asignada a las área donde se contienen los registros de víctimas, el usuario del equipo o, en su caso, el Responsable de los registros de víctimas reporta de inmediato el evento al área de sistemas y, de ser posible, toma las primeras acciones para evitar un mayor deterioro del equipo siguiendo las indicaciones que reciba del personal de sistemas.

En caso de una falla en un equipo de cómputo asignado a las áreas donde operan los registros de víctimas que requiera que la computadora sea retirada para su reparación, los medios de almacenamiento no volátil se extraen y son puestos a resguardo para evitar la pérdida, robo o daño de los datos personales que contengan. Dicha operación la realiza el personal autorizado del área de sistemas.

Toda computadora que sea dada de baja (ya sea por obsolescencia, sustitución o alguna otra causa) pase por un proceso de preparación final.

11. Recomendaciones sobre medidas de seguridad para el resguardo de información relacionada con registros de víctimas en servidores

Los servidores informáticos (SI) asignados al procesamiento de información de los registros de víctimas, sean nuevos o usados, pasan por un proceso de preparación inicial a fin de instalarles solamente software autorizado, configurado para brindar mayor seguridad que la predeterminada por el fabricante.

Se ha definido una lista de software autorizado para servidores en sitios de acceso restringido es un documento que prepara y actualiza el área de sistemas de la dependencia o entidad. Este documento se prepara en coordinación con el Responsable de los Registros de víctimas, según las necesidades y las funciones que desempeña el personal autorizado a su cargo.

Todo SI que está bajo la custodia del área de sistemas está instalado en un lugar que facilita adoptar:

�� Medidas de seguridad: Acceso restringido, sistema de vídeo-vigilancia remoto.

�� Medidas para su buen funcionamiento: Temperatura de operación adecuada, mantenimiento preventivo y correctivo, atención inmediata en caso de fallas.

�� Medidas que aseguran su operación continua: Elaboración y restauración de respaldos, sustitución rápida de partes dañadas.


12

Los servidores informáticos que NO están bajo la custodia del área de sistemas están asegurados físicamente para evitar el robo del gabinete o la sustracción de piezas o partes. Para tal propósito, está resguardado mediante cajones de protección, candados o cualquier otro dispositivo que impida la manipulación del gabinete y el acceso físico al interior del equipo.

Los servidores informáticos que NO están bajo la custodia del área de sistemas tienen deshabilitados o cancelados los puertos de comunicación (USB, paralelo, serial, etc.) que no se utilizan. Los cables o dispositivos conectados a los puertos que sí se utilizan están asegurados para evitar su desconexión. Las cancelaciones pueden ser abiertas por personal de sistemas.

Los servidores informáticos que NO están bajo la custodia del área de sistemas tienen deshabilitados o cancelados los dispositivos de almacenamiento removible (unidades de disco flexible, quemadores de CD/DVD, etc.). Las cancelaciones pueden ser abiertas por personal de sistemas.

Se restringe la utilización de dispositivos de conexión inalámbrica (Wi-Fi, Bluetooth, infrarrojo, etc.) en los servidores asignados a las áreas donde se contienen u operan los registros de víctimas.

El acceso a servidores informáticos que NO están bajo la custodia del área de sistemas, con el propósito de realizar labores de mantenimiento preventivo y correctivo o para soporte técnico, es exclusivo del personal o de sistemas o de un proveedor externo subcontratado. En cualquier caso, el Responsable del registro de víctimas es quien autoriza, supervisa y registra el acceso, archivando la autorización que emite.

Cuando se presenta una falla en un servidores informáticos que NO está bajo la custodia del área de sistemas, el Responsable del registro de víctimas reporta de inmediato el evento al área de sistemas y, de ser posible, toma las primeras acciones para evitar un mayor deterioro del equipo siguiendo las indicaciones que reciba del personal de sistemas.

Los servidores informáticos críticos que están bajo la custodia del área de sistemas tienen contratada una póliza de reparación, mantenimiento preventivo y correctivo.

En caso de que la falla requiera que el servidor sea retirado de las zonas de acceso restringido del registro de víctimas para su reparación, los medios de almacenamiento no volátil son extraídos y puestos a resguardo para evitar la pérdida, robo o daño de los datos personales que contiene. Dicha operación la realiza el personal autorizado del área de sistemas.


13

12. Recomendaciones sobre medidas de seguridad en casos de baja de equipos informáticos

Todo equipo informático que es dado de baja (ya sea por obsolescencia, sustitución o alguna otra causa) pasa por un proceso de preparación final.

Las únicas personas autorizadas para realizar el proceso de preparación final son miembros del personal de las áreas de sistemas y de seguridad.

El proceso de preparación final de un servidor que se da de baja queda registrado en un formulario. Este documento es archivado por el área de sistemas o por el área de seguridad con el formulario que en su momento registró el proceso de preparación inicial del equipo.

13. Recomendaciones sobre medidas de seguridad en la utilización de impresoras y otros equipos periféricos autorizados

Las impresoras y los equipos periféricos autorizados (monitores, pantallas planas, etc.) usados en las donde se contengan u operen los registros de víctimas, sean nuevos o usados, pasan por un proceso de preparación inicial. Con ello se busca la presencia de puertos de comunicación (USB, paralelo, red local, por ejemplo) adicionales al principal que pudieran utilizarse para conectar dispositivos con los que se pueda sustraer información de los registros de víctimas.

Los puertos adicionales antes mencionados quedan inhabilitados o cancelados, mientras que los cables conectados a los puertos principales quedan asegurados para evitar su desconexión. Las cancelaciones pueden ser abiertas por el personal autorizado del área de sistemas.

Las únicas personas autorizadas para realizar el proceso de preparación inicial son miembros del personal de sistemas y de seguridad.

El proceso de preparación inicial de una impresora o de un equipo periférico autorizado que se asigna en áreas en las que operan los registros de víctimas queda registrado en un formulario. Este documento es archivado por el área de sistemas o por el área de seguridad.

El equipo de almacenamiento removible externo se mantiene bajo custodia del área de sistemas o del área de seguridad.

El uso de impresoras y equipo periférico autorizado que se conecta directamente a computadoras y servidores dentro de zonas de acceso restringido es vigilado, supervisado o, en su caso, autorizado por el Responsable de los Registros de víctimas.


14

Las únicas personas autorizadas para utilizar el equipo de almacenamiento removible externo son miembros del personal de sistemas y de seguridad.

Cuando se presenta una falla en una impresora o en un equipo periférico autorizado, el usuario del equipo o, en su caso, el Responsable del registro de víctimas reporta de inmediato el evento al área de sistemas y, de ser posible, toma las primeras acciones para evitar un mayor deterioro del equipo siguiendo las indicaciones que reciba del personal de sistemas.

En caso de que la falla requiera que la impresora o el equipo periférico autorizado sea retirado de las zonas de acceso restringido del registro de víctimas para su reparación, de existir medios de almacenamiento no volátil, estos son extraídos y puestos a resguardo para evitar la pérdida, robo o daño de datos personales. Dicha operación la realiza el personal autorizado del área de sistemas.

Toda impresora y todo equipo periférico autorizado que son dados de baja (ya sea por obsolescencia, sustitución o alguna otra causa) pasan por un proceso de preparación final.

Las únicas personas autorizadas para realizar el proceso de preparación final son miembros del personal de sistemas y de seguridad.

El proceso de preparación final de una impresora o de un equipo periférico autorizado que se da de baja queda registrado en un formulario. Este documento es archivado por el área de sistemas o por el área de seguridad y se archiva con el formulario que en su momento registró el proceso de preparación inicial del equipo.

14. Recomendaciones sobre medidas de seguridad para el registro de actividades e inventario de activos de cómputo

El área de sistemas lleva un inventario actualizado (independiente de aquél que lleva el área administrativa correspondiente) para todos los activos de cómputo, separados por tipo; es decir, computadoras personales, servidores, impresoras y equipos periféricos autorizados.

El Responsable del registro de víctimas mantiene estricto control y registro de:

a) Las autorizaciones emitidas al personal de sistemas o a proveedores externos subcontratados que proporcionan servicios de mantenimiento preventivo y correctivo así como soporte técnico para computadoras personales, servidores, impresoras y equipos periféricos autorizados asignados en áreas de acceso restringido en que se contienen u operan los registros de víctimas; lo anterior incluye, por lo menos, los siguientes datos:


15

�� Causa que motiva el servicio.

�� Número o identificación de activo del equipo de cómputo.

�� Fecha y hora, tanto de inicio como de terminación del servicio.

�� Nombre completo y firma de la o las personas que proporcionan el servicio.

�� Tipo de identificación oficial que utiliza(n) dicha(s) persona(s) para autenticar su identidad (credencial de elector, pasaporte, etc.) y un número de referencia que aparezca en dicha identificación.

�� Nombre y firma (visto bueno) del Responsable del registro de víctimas que autoriza el acceso.

b) Las autorizaciones para la operación de equipo de almacenamiento removible externo por parte del personal de sistemas o de seguridad cuando es necesario llevar a cabo respaldos de información contenida en computadoras o servidores que NO están bajo la custodia del área de sistemas, y

c) Las autorizaciones para el uso temporal de dispositivos como los que se listan en la sección que se otorgan al personal autorizado que así lo solicite. Dicho registro incluye, por lo menos, los siguientes datos y documentos:

�� Causa que motiva la solicitud.

�� Nombre completo de la persona que solicita autorización.

�� Fecha en la que obtuvo autorización para interactuar con uno o más Registros de víctimas, nombre del Responsable del registro de víctimas que otorgó dicha autorización y fotocopia del documento que le otorgó la categoría de personal autorizado.

�� Tipo de identificación oficial con la que dicha persona autentica su identidad (credencial de elector, pasaporte, etc.) y un número de referencia que aparezca en tal identificación.

�� Nombre y firma (visto bueno) del Responsable del registro de víctimas que autoriza el acceso.

�� Carta responsiva emitida por el usuario, encargado o visitante que incluye su firma autógrafa y un manifiesto en el que asume la responsabilidad por el daño, pérdida o robo de los datos personales que almacene en el equipo no autorizado que utilice temporalmente en cualesquiera de las zonas de acceso restringido del registro de víctimas.


16

El área de sistemas o el área de seguridad mantiene estricto control y registro de:

a) El formulario donde se asientan los detalles del proceso de preparación inicial que se lleva a cabo para cada computadora y cada servidor asignado en áreas de acceso restringido. Dicho registro incluye, por lo menos, los siguientes datos:

�� Nombre y firma de la o las personas que realizan el proceso de preparación inicial.

�� Fecha y hora en la que se realiza dicho proceso, tanto la de inicio como la de finalización.

�� Características del equipo (marca, modelo y número de serie) así como de los componentes de hardware al interior del equipo (marca y modelo de la unidad de procesamiento central; marca y cantidad de la memoria volátil; marca, modelo y capacidad de los medios de almacenamiento no volátil; marca y versión del sistema operativo instalado; y demás componentes relevantes) en el momento de su recepción.

�� Nombre y firma (visto bueno) dado por el Responsable de los Registros de víctimas.

�� Número o identificación de activo que se asigna al equipo.

�� Fecha en que el equipo queda instalado y se pone en operación.

�� Área donde queda instalado el equipo.

b) El formulario donde se asientan los detalles del proceso de preparación inicial que se lleva a cabo para cada impresora y cada equipo periférico autorizado asignado en áreas de acceso restringido. Dicho registro incluye, por lo menos, los siguientes datos:

�� Nombre y firma de la o las personas que realizan el proceso de preparación inicial.


�� Características del equipo (marca, modelo y número de serie) así como de los componentes de hardware al interior del equipo (marca y cantidad de la memoria volátil; marca, modelo y capacidad de los medios de almacenamiento no volátil; y demás componentes relevantes) en el momento de su recepción.

�� Nombre y firma (visto bueno) dado por el Responsable de los Registros de víctimas.


17

�� Número o identificación de activo del equipo que se asigna al equipo.

�� Fecha en que el equipo queda instalado y se pone en operación.

�� Área donde queda instalado el equipo.

c) El inventario actualizado de activos de cómputo, mismo que incluye, por lo menos, los siguientes datos:

�� Descripción.

�� Área donde se instaló el equipo.

�� Número o identificación de activo que el equipo de cómputo tenía asignado.

�� Características del equipo (marca, modelo y número de serie).

�� Características de los componentes de hardware al interior del equipo (marca y modelo de la unidad de procesamiento central; marca y cantidad de la memoria volátil; marca, modelo y capacidad de los medios de almacenamiento no volátil; marca y versión del sistema operativo instalado; y demás componentes relevantes) en el momento de su recepción.

�� Características de los componentes de hardware al interior del equipo (marca y modelo de la unidad de procesamiento central; marca y cantidad de la memoria volátil; marca, sistema operativo instalado; y demás componentes relevantes) en el momento de su baja.

�� Memoria técnica de las configuraciones de red del equipo, si aplica.

�� Folio del formulario que registra los detalles del proceso de preparación inicial y fecha de alta en el inventario.

�� Folio del formulario que registra los detalles del proceso de preparación final y fecha de baja del inventario;

d) El formulario donde se asientan los detalles del proceso de preparación final que se lleva a cabo para cada computadora y cada servidor asignado en áreas de acceso restringido. Dicho registro incluye, por lo menos, los siguientes datos:

�� Área donde estaba instalado el equipo.


�� Nombre y firma de la persona que realiza el proceso de preparación final.

�� Fecha y hora en la que se realiza dicho proceso, tanto la de inicio como de


18

finalización.

�� Características del equipo (marca, modelo y número de serie) así como de los componentes de hardware al interior del equipo (marca y modelo de la unidad de procesamiento central; marca y cantidad de la memoria volátil; marca, modelo y capacidad de los medios de almacenamiento no volátil; marca y versión del sistema operativo instalado; y demás componentes relevantes) en el momento de su baja.

�� El destino que se le dará al equipo dado de baja.

�� Fecha en la que el equipo es efectivamente dado de baja.

�� Nombre y firma (visto bueno) del Responsable del registro de víctimas, y

e) El formulario donde se asientan los resultados del proceso de preparación final que se lleva a cabo para cada impresora y cada equipo periférico autorizado asignado en áreas de acceso restringido. Dicho registro incluye, por lo menos, los siguientes datos:

�� Área donde estaba instalado el equipo.


�� Nombre y firma de la persona que realiza el proceso de preparación final.


�� Características del equipo (marca, modelo y número de serie) así como de los componentes de hardware al interior del equipo (marca y cantidad de la memoria volátil; marca, modelo y capacidad de los medios de almacenamiento no volátil; y demás componentes relevantes) en el momento de su recepción.

�� El destino que se le dará al equipo dado de baja.

�� Fecha en la que el equipo es efectivamente dado de baja.

�� Nombre y firma (visto bueno) del Responsable del registro de víctimas.

15. Recomendaciones sobre medidas de seguridad para equipo no autorizado

Se restringe en las áreas donde se contienen u operan los registros de víctimas la utilización de computadoras portátiles.


19

En caso de ser necesario el traslado de datos personales este se realizará con las siguientes restricciones: sólo lectura, no para modificación, no para sustracción, no para impresión, no para quemado.

Se restringe el uso de dispositivos de almacenamiento externo. En caso de que un visitante lleve alguno, dicho dispositivo tendrá que resguardarse en el punto de revisión, bajo custodia del personal de seguridad, o con el Responsable de los Registros de víctimas.

Se ha concretado la inhabilitación de dispositivos de conexión inalámbrica que pudieran suponer un riesgo de extracción de datos personales por una persona que se encuentre fuera del área del registro de víctimas.

Se recomienda evitar el uso de dispositivos de almacenamiento externo portátil (memoria USB portátil, reproductor MP3, teléfono celular) ajeno a la institución.

16. Recomendaciones sobre medidas de seguridad aplicables al almacenamiento de respaldos

El almacenamiento de los respaldos (es decir, de los medios de almacenamiento removibles que los contienen) se realiza en lugares seguros.

El reemplazo de dichos medios de almacenamiento se lleva a cabo mediante un esquema calendarizado.

Se lleva registro de las veces que un respaldo se introduce o se extrae.

V. Documentación de Medidas de Seguridad en procesos y políticas de los Registros de Víctimas

Se cuenta con un Manual de operaciones donde están documentados los procesos y procedimientos que los servidores públicos llevan a cabo dentro de la dependencia o entidad. Aquellos procesos y procedimientos en los que se describe la forma en que los servidores públicos interactúan con los registros de víctimas.

VI. Sensibilización y capacitación en materia de Medidas de Seguridad para los registros de víctimas

El personal que participa en la operación de los registros de víctimas ha tomado un curso de sensibilización sobre protección de datos personales en soportes físicos y soportes electrónicos.

El curso se imparte al menos una vez cada dos años a todo el personal llevando un registro de asistencia.


20

Al finalizar el curso, el participante manifiesta conocer la relevancia de la seguridad de datos personales y sus responsabilidades mediante firma autógrafa que se recaba en una lista que archiva el Responsable del registro de víctimas de que se trate.

Se imparten cursos de sensibilización y documentos de firmas, similares a los anteriores, que persiguen el mismo fin pero que están orientados a proveedores externos que interactúan con los registros de víctimas y a quienes también se exige aseguren la protección de datos personales.

VII. Cartas compromiso, cláusulas y contratos de confidencialidad

Al menos cada dos años, el Titular de la dependencia o entidad o el Responsable del registro de víctimas de que se trate recibe una carta compromiso de parte de cada uno de los miembros del personal autorizado que interactúa con registros de víctimas.

Se recomienda que en dicha carta, el servidor público manifieste, con su firma autógrafa, su compromiso para realizar su trabajo apegándose a medidas de seguridad que apliquen en cada dependencia o entidad. Además, con ello, el servidor público manifiesta conocer el marco jurídico en materia de protección de datos personales a fin de garantizar al ciudadano la custodia de su información.

La dependencia o entidad cuenta con un contrato de confidencialidad firmado con cada proveedor o prestador de servicios que interactúa con los registros de víctimas.

Así lo aprobó el Pleno de la Comisión Ejecutiva de Atención a Víctimas, en la Quincuagésima Primera Sesión Ordinaria 2015.- El Comisionado Presidente, Sergio Jaime Rochín del Rincón.- Firma.- Los Comisionados Adrián Franco Zevada y Julio Antonio Hernández Barros.- Firmas.- La Secretaria Técnica del Pleno, Alejandra Soto Alfonso, quien da fe de la presentación y votación del documento por unanimidad de los presentes.- Firma.

ACUERDO CEAV/PLENO/2015/051/05 Atención a Víctimas.€¦ · ACUERDO CEAV/PLENO/2015/051/05 1...

Documents

Transcript of ACUERDO CEAV/PLENO/2015/051/05 Atención a Víctimas.€¦ · ACUERDO CEAV/PLENO/2015/051/05 1...