Colegio de Registradores de Españaregistradores.org/mailing/extremadura/Guia_operativa... · Web...

http://www.registradores.org Plantilla LOPD_Colegio Registradores

Guía operativa de Auditorías Internas 2014-2016

Diciembre, 2014

Índice

1. INTRODUCCIÓN.................................................................................................................. 3

2. CRITERIOS DE USO DE LA GUÍA OPERATIVA.................................................................42.1. Alcance de las preguntas................................................................................................................4

2.2. Aspectos a verificar en cada pregunta............................................................................................4

2.3. Resultados obtenidos......................................................................................................................4

2.4. Plan de acción pendiente................................................................................................................5

3. GUÍA OPERATIVA DE AUDITORÍAS INTERNAS 2014-2016.............................................6

ANEXO I – CATÁLOGO DE PREGUNTAS DE LA AUDITORÍA 2014-2016............................21

CRITERIOS DE USO DE LA GUÍA OPERATIVA

1. INTRODUCCIÓNLa Ley Orgánica de Protección de Datos (LOPD) impone obligaciones legales a todos las personas e instituciones que poseen ficheros con datos de carácter personal. El Reglamento de Desarrollo de la LOPD (RDLOPD) establece la obligación de poner en marcha diversas medidas destinadas a garantizar la protección de dichos datos, y, entre ellas, el sometimiento, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento de la normativa vigente.

Por ello, desde la Oficina de Seguridad (OSE) del Colegio de Registradores de la Propiedad, Mercantiles y de Bienes Muebles de España (CORPME) se ha revisado y actualizado el procedimiento de Auditorías Internas de los Registros para el periodo de auditorías 2014-2016.

El objetivo principal de estas auditorías, además del requisito legal anteriormente señalado, es la mejora continua de las medidas de seguridad existentes en los Registros, en concordancia con pretensión de veracidad de los resultados obtenidos de esta auditoría interna, hecho que facilita la selección de las medidas correctoras más adecuadas en cada caso.

A tales efectos, el objetivo del presente documento es poner a disposición de los Registros para el periodo de Auditorías 2014-2016 una guía operativa que recoge las recomendaciones oportunas a considerar en cuanto al alcance y los criterios a validar por el personal de Registros que complete la Auditoría Interna, como medio efectivo para resolver dudas a la hora de cumplimentar el documento por parte de los Registros, y siempre complementado por los criterios recomendados, y actualizados para este periodo 2014-2016, en materia de protección de datos que se recogen en el Manual de Tratamiento de Datos de Carácter Personal en los Registros (Manual LOPD de Registros).

Por tanto, con este documento lo que se pretende es facilitar la contestación de las preguntas de la Auditoría Interna así como obtener unos resultados fidedignos a la realidad del Registro, permitiendo a este verificar y contrastar en todo momento aquellos aspectos concretos de su realidad operativa en materia de protección de datos de carácter personal, con aquellos criterios recomendados en tal materia y que es posible encontrar en el Manual LOPD de Registros.

Finalmente de todo este proceso se obtendrá un plan de acción, que mediante el empleo de la guía propuesta permitirá establecer, en base a la legislación de protección de datos, de forma concreta y precisa aquellas acciones que será preciso acometer por haber sido identificadas como tales a través de la Auditoría.

3


2. CRITERIOS DE USO DE LA GUÍA OPERATIVAEn este apartado se explicarán aquellos aspectos que conforman la Guía operativa de Auditorías Internas 2014-2016. En concreto, se expone lo que se entiende por los conceptos básicos de la misma, esto es, por el alcance de las preguntas y los aspectos a verificar para cada pregunta.

A la vez, también se incluyen los posibles criterios de interpretación de los resultados obtenidos en la Auditoría, así como aquellos que permitan al Registro elaborar el plan de acción que subsane los aspectos detectados.

2.1. Alcance de las preguntasEste apartado de la guía operativa va encaminado a detectar aquellos aspectos que se deben considerar a la hora de responder a las preguntas, por verse afectados en parte o en su totalidad por los criterios definidos al respecto en base a la normativa de protección de datos.

En este sentido, se definen dentro del alcance de las preguntas todos aquellos elementos a los que la normativa de protección de datos afecta y establece medidas que deben verificarse.

Por tanto, en el alcance de la pregunta se acotan y delimitan aquellos aspectos que al menos deben considerarse a la hora de responder la Auditoría, salvo mejor criterio del Responsable de Seguridad o Suplente en base a la realidad operativa de cada Registro.

2.2. Aspectos a verificar en cada preguntaEste apartado de la guía operativa incluye, a modo de recomendación, los criterios concretos mínimos a verificar o chequear por el Responsable de Seguridad o suplente que complete la Auditoría Interna y que de este modo le puedan facilitar la respuesta a la pregunta concreta de Auditoría.

De esta forma, una vez que sean previamente identificados aquellos elementos afectados por cada pregunta, será posible chequear o verificar aquellos aspectos que el Registro deberá disponer, a fin de poder acreditar eventualmente los resultados obtenidos tras la realización de la Auditoría.

Así, el listado aspectos a verificar que se proponen es un criterio orientativo de aquellas cuestiones a tener en cuenta, salvo mejor criterio del Responsable de Seguridad o Suplente, que es la figura que centraliza el conocimiento de la operativa real del Registro.

Finalmente, en cuanto al modo de proceder a realizar las verificaciones oportunas, se recomienda que las mismas se soporten de forma documental para poder acreditar y guardar traza de las mismas. Si no es posible realzar las verificaciones en soporte documental, se podrán también realizar de forma visual.En todo caso, se recomienda que aquellas verificaciones realizadas se hagan constar en el apartado “OBSERVACIONES” de la hoja Excel de Auditoría Interna remitida.

2.3. Resultados obtenidosA la hora de contestar la hoja Excel de Auditoría Interna remitida, se recomienda contestar de dos formas posibles, salvo mejor criterio del Responsable de Seguridad o Suplente, en base a la operativa real del Registro.

- SI. Se contestará de esta manera siempre que para la totalidad del alcance definido se hayan podido verificar la totalidad de aspectos indicados en la guía operativa.

A la vez, se contestará de esta manera en caso de que la pregunta no aplique en base a la operativa del Registro.

4


- NO. Se contestará de esta manera siempre que no se cumpla alguno de los aspectos a verificar para la totalidad de aspectos definidos en el alcance.

De esta forma, a través del documento Excel será posible la identificación inmediata de aquellos aspectos que queden pendientes de subsanar.

Finalmente, indicar de nuevo que el Responsable de Seguridad o su Suplente pueden adoptar otros criterios a la hora de contestar las preguntas definidas en base al alcance y el aspecto concreto propuesto para verificar, pues es la figura que centraliza el conocimiento de la operativa real del Registro y la forma más óptima de organización de tareas pendientes.

2.4. Plan de acción pendienteUna vez se disponga de la Auditoría Interna contestada y de lista concreta de aspectos pendientes de implantar en el Registro (tras la verificación previa de los mismos), se extraerá el plan de acción del Registro. Dicho plan lo conformarán aquellas acciones a realizar, identificándolas en el apartado “OBSERVACIONES” de la hoja Excel de Auditoría Interna remitida.

Así, el plan de acción se podrá elaborar apoyándose en el apartado del Manual LOPD al que el Excel de Auditoría hace referencia para cada pregunta, anotando en el apartado “MEDIDAS ADOPTADAS POR EL REGISTRO DESPUÉS DE LA AUDITORÍA” aquellas medidas que se vayan adoptando.

5

GUÍA OPERATIVA DE AUDITORÍAS INTERNAS 2014-2016

3. GUÍA OPERATIVA DE AUDITORÍAS INTERNAS 2014-2016Número de pregunta Alcance de la pregunta Aspectos concretos a verificar de la pregunta

1 Formación de los Responsables de Seguridad y sus Suplentes.

Verificar a través de la plataforma Aprend@ la realización de todos los cursos en materia de protección de datos, por ejemplo:

o Curso pre-auditoría.

o Curso de manejo del Excel de Auditoría.

o Cursos de Monográficos.

o Otros cursos.


Verificar que los Responsables de Seguridad y suplentes han superado todos los cursos de formación disponibles en Aprend@.


Verificar que se han realizado acciones de formación y concienciación en el Registro en esta materia, por ejemplo:

o Mediante correos electrónicos

o Mediante cualquier tipo de acciones formativas, tales como comunicados en paneles del Registro, convocatorias de cursos o charlas internas realizadas.


Verificar que se dispone de un listado de las medidas detectadas en anteriores auditorías y aquellas acciones correctoras que se hayan implementado al efecto, así como la documentación soporte que acredite la subsanación de las mismas.

5 Formación de todo el personal del Registro.

Verificación a través de la plataforma Aprend@ de la realización de los cursos en materia de protección de datos enfocados a todo el personal del Registro. Por ejemplo:

o Monográficos dirigidos a todo el personal del Registro

o Otros cursos

6 Documentos en papel del Registro que contengan datos

de carácter personal, tales como:

o Documentación relativa a la función pública del

Verificar que se dispone en SYGILO (o a través de cualquier otro medio, como puede ser de listados en Excel) del inventario formalizado de documentación, al menos, a nivel de archivo, armario u otros contenedores de información (carpetas, por ejemplo).

6


Número de pregunta Alcance de la pregunta Aspectos concretos a verificar de la pregunta

Registro (inscripciones, publicidad emitida, etc.)

o Documentación de la gestión privada del Registro (nóminas, datos de la gestión de RRHH en relación a los trabajadores, contabilidad, facturas, etc.)

7

Documentos en papel del Registro que contengan datos de carácter personal, tales como:

o Documentación relativa a la función pública Registro (inscripciones, publicidad emitida, etc.)


Verificar que se dispone en SYGILO (o a través de cualquier otro medio, como puede ser de listados en Excel) del etiquetado correspondiente, al menos, para cada contenedor de documentación, de forma que permita la identificación de lo almacenado

Verificar en el caso de datos personales de nivel alto, que el etiquetado únicamente permita hacerlo identificable para el personal autorizado.

8 Documentos en papel del Registro que contengan datos

de carácter personal, tales como:


Verificar que se dispone en SYGILO (o a través de cualquier otro medio, como puede ser de listados en Excel) de los criterios de archivo formalizados en el Registro.

9

Documentos en papel del Registro que contengan datos de carácter personal, tales como:

o Documentación relativa a la función pública del Registro (inscripciones, publicidad emitida, etc.).

o Documentación de la gestión privada del Registro (nóminas, datos de la gestión de RRHH en relación a los trabajadores, contabilidad, facturas, etc.).

Verificar que el Registro dispone de cajones, armarios o cualquier otro elemento dotado de mecanismo de apertura y cierre mediante llave, y proceder almacenamiento efectivo de la documentación en tales soportes.

En caso de no disponer de lo anterior, verificar la existencia de mecanismos de custodia efectivos de manera formalizada (en correos electrónicos u otros medios).

10 Documentos en papel del Registro que contengan datos de carácter personal, tales como:

o Documentación relativa a la función pública del Registro (inscripciones, publicidad emitida, etc.).

o Documentación de la gestión privada del Registro (nóminas, datos de la gestión de RRHH en relación a los trabajadores, contabilidad, facturas, etc.).

Verificar que el Registro dispone de una política de gestión de llaves formalizada (en cualquier repositorio de información: papel, Excel, archivos Word, correos electrónicos, etc.) que contemple al menos los siguientes aspectos:

La designación de un responsable formal a tal efecto, cuyas competencias contemplarán:

o La custodia de las llaves.

o La retirada de las mismas una vez ha finalizado la jornada laboral.

7



o El almacenamiento de aquellas en un lugar no visible con acceso exclusivo del personal del Registro que necesite su uso acorde a sus funciones

11 Lugar de almacenamiento de los tomos de los tomos registrales.

Verificar que el acceso a los tomos registrales se produce exclusivamente por el personal autorizado para ello, ya sea por alguno de los siguientes supuestos:

o Por contar para su almacenamiento con un área de dedicación exclusiva con acceso restringido (mediante llave, tarjeta u otros mecanismos análogos).

o Por disponer de alguno de los siguientes mecanismos alternativos de custodia, en tanto en cuanto garanticen el requisito de acceso a los tomos solo por personal autorizado:

Señalizar y separar debidamente la zona privada del Registro.

Establecer un libro de visitas en el Registro mediante el cual se registren todos los accesos que se realicen a la zona privada del Registro por parte de personal ajeno al Registro.

En cuanto al protocolo de acceso de visitas en el interior de la zona privada del Registro, se podrá proceder a acompañar a las visitas al Registro en todo momento o supervisar la visita a fin de evitar el riesgo de acceso no autorizado a documentación y tomos registrales.

En cuanto a la custodia de documentación y tomos registrales en la zona privada del Registro, y en la medida de lo posible, aquellos servicios externos del Registro que presten éste en la zona privada del Registro (por ejemplo, servicios de limpieza) pueden llevar a cabo su prestación durante el horario laboral, de forma que puedan ser controlados y supervisados por el personal del Registro.

En cuanto a la concienciación del personal, con el fin de evitar accesos no autorizados especialmente por personal ajeno al Registro cuando se encuentren en el interior de las zonas públicas o privadas, conviene asegurarse que esta información no se encuentra en las zonas de trabajo sin custodiar.

Llevanza de un registro de acceso manual adicional en el que se anoten los accesos realizados a los tomos registrales, en caso de realizarse eventuales accesos de personal externo al Registro que no quede reflejo en la aplicación de gestión.

Almacenamiento de los tomos en armarios con llave. Dichos armarios deberán estar permanentemente cerrados, y únicamente se abrirán cuando sea necesario hacer uso de los mismos, y se procederá de nuevo al cierre cuando haya cesado el motivo por el cual se abrieron tales armarios.

Implementar una política de gestión de llaves.

Otras medidas alternativas que el Responsable del Fichero considere oportuno adoptar con el fin de mitigar los riesgos de confidencialidad (accesos indebidos) o de integridad

8



(manipulación indebida de los tomos)

12 Lugar de almacenamiento de los tomos en el Archivo Común.

Verificar que las puertas de acceso permanezcan cerradas mientras no se esté haciendo uso del Archivo Común. Para ello, se podrá incidir en:

o Medidas de concienciación del personal.

o Opcionalmente y en la medida que la carga de trabajo lo permita, cada Registro cuyos tomos se encuentren en el Archivo Común, podrá implementar un registro de accesos manual del personal que acceda al área compartida, como por ejemplo, la llevanza de una hoja de firmas del personal una vez se produzca la retirada y devolución del tomo correspondiente.

o Implementar una política de gestión de llaves de los dispositivos de almacenamiento de documentación o salas de Archivo Común del Registro.

13

Registro de accesos a la documentación de nivel alto, como por ejemplo:

o Acceso a los tomos.

o Acceso a documentación con datos sensibles de los trabajadores.

o Acceso a la documentación relativa a recursos o reclamaciones judiciales.

o Documentación de la Oficina Liquidadora, en su caso.

Verificar que se cumplen las siguientes medidas:

o Existen mecanismos adicionales de control de acceso dentro de los archivos para la documentación de nivel alto (armarios o cajones con llave o similar), de tal forma que esté diferenciada del resto de documentación de carácter personal.

o Existen mecanismos que limiten la apertura y que permiten registrar una traza de los accesos que se realizan a la documentación (p.ej., mecanismos de lector de tarjetas). Como mínimo, se podrá habilita una sala cerrada con llave y que cuente con un registro de acceso manual a la misma, siendo obligatorio registrarse tanto a la entrada como a la salida.

o En el caso concreto de los tomos registrales, se considera válido a efectos de cumplir con esta medida de seguridad para soporte papel, el tener activado el registro de accesos en la aplicación registral correspondiente, de tal forma que en todo momento quede registrado:

La identificación del usuario.

La fecha y hora en que se realizó el acceso.

El fichero accedido.

El tipo de acceso y si ha sido autorizado o denegado

14 Responsabilidades de formación de todo el personal del Registro en cuanto a los criterios para la custodia de documentación.

Responsabilidades del Responsable de Seguridad o su Suplente en cuanto al traslado de estos criterios.

Verificar que se han realizado acciones de formación y concienciación en el Registro en esta materia, por ejemplo:

o Mediante correos electrónicos.

o Mediante cualquier tipo de acciones formativas, tales como comunicados en paneles del Registro,

9



convocatorias de cursos o charlas internas realizadas.

15

Responsabilidades del Responsable de Seguridad y Suplente a efectos de control.

Responsabilidades de todo el personal del Registro en cuanto a la custodia de documentos.

Documentación generada a través de los dispositivos de fotocopias, impresión, escaneo y fax.

Verificar que se retira toda la documentación generada a través de los mismos al finalizar la jornada laboral.

Verificar que las impresoras, escáneres, faxes y fotocopiadoras se ubican en lugares de acceso controlados (bajo la custodia del personal del Registro).

16 Responsabilidades del Responsable de Seguridad y

Suplente a efectos de control

Responsabilidades de todo el personal del Registro en cuanto a la custodia de documentos.

Verificar que todo el personal del Registro recoge la documentación de las mesas y la almacena en lugares cerrados o custodiados al finalizar la jornada laboral o ante ausencias prolongadas del puesto de trabajo.

17 Responsabilidades del Responsable de Seguridad y

Suplente a efectos de control

Responsabilidades de todo el personal del Registro en cuanto a la destrucción de documentos.

Verificar que todo el personal del Registro realiza la destrucción de las copias de trabajo de forma que queden irrecuperables.

Verificar que no se produzca la reutilización de papel para la emisión de fotocopias de trabajo.

18 Documentación que deba salir de las instalaciones del Registro.

Verificar que en SYGILO o en otro documento análogo se dispone de las autorizaciones de entrada y salida de documentación.

19 Almacenamiento de los albaranes de entrega y recogida de servicios de mensajería.

Verificar que se almacenan los albaranes de entrega y recogida de servicios de mensajería externos durante dos años.

20 Almacenamiento de la documentación entregada por los servicios de mensajería o a la espera de salir del Registro.

Verificar que este tipo de documentación no va a ser accedida por el personal no autorizado y designado a tal efecto para su custodia. En este sentido, se deberá verificar que las bandejas de entrada y salida de documentación cumplen con los siguientes requisitos:

o En caso de que no se encuentren permanentemente vigiladas, y siempre que sea posible, la valija se almacenará en una zona de acceso restringido (armario, cajones,…), de tal forma que no sea accesible visualmente.

o Se evitará su ubicación en las zonas de paso del Registro.

10



o Independientemente de la vigilancia, se retirará toda la documentación de las bandejas de entrada y salida al término de la jornada laboral y se almacenará la misma en armarios o cajones con llave u otro método de control de acceso equivalente. Para ello, se designara una o varias personas en el Registro responsables de esta actividad, que realizarán, asimismo, una custodia efectiva de las llaves de los dispositivos de almacenamiento.

21 Contratos de prestación de servicios con empresas de

mudanzas.

Custodia de la actividad del transportista.

Verificar que se conoce la existencia de la localización del protocolo de seguridad para el traslado de Registros, disponible en el CORPME a solicitud de los Registros que lo deseen utilizar.

Verificar que en caso de haberse producido una mudanza o traslado masivo, se formalizaron los contratos con las empresas de mudanzas correspondientes cumpliendo con los requisitos de protección de datos y controlando la actividad del transportista acorde a lo definido en el Manual LOPD (apartado "Seguridad en el traslado masivo de documentación")

22 Responsabilidades de todo el personal del Registro que genere documentación que se deba destruir.

Verificar que se dispone de uno o varios de los siguientes mecanismos de destrucción de documentación:

o Cubos de destrucción con un tamaño adecuado al volumen de documentación generada para destruir.

o Destructoras de papel que garanticen que el documento no se podrá reutilizar.

o Servicios especializados de destrucción que emitan un certificado de destrucción para su almacenamiento en el Registro durante al menos 2 años.

23 Responsabilidades de todo el personal del Registro que genere documentación que se deba destruir.

Verificar que no se produzca la acumulación o amontonamiento de documentación para destruir en zonas no custodiadas.

Verificar que no se deposite la documentación con datos de carácter personal en papeleras, cubos de cartón u otros lugares no habilitados para la destrucción de documentación con datos de carácter personal.

24 Inventario de todos los soportes físicos que contengan datos de carácter personal.

Verificar que se dispone en SYGILO (o a través de cualquier otro medio, como puede ser de listados en Excel) del inventario de todos los soportes físicos que contengan datos personales, tales como, discos de back up, discos duros externos del Registro, USBs, equipos y dispositivos portátiles, CDs y DVDs, etc.)

25 Almacenamiento de todos los soportes físicos que contengan datos de carácter personal.

Verificar que los soportes físicos se encuentran en lugares de almacenamiento controlados. Como por ejemplo:

o Zonas restringidas con control de acceso, al que únicamente tenga acceso el personal autorizado

11



(despachos cerrados con llave, salas de acceso restringido, etc.)

o Cajoneras personales con cerradura, armarios cerrados con llave o cualquiera otro dispositivo que impida el acceso del personal no autorizado.

o Armarios ignífugos con acceso restringido al personal autorizado.

26

Soportes físicos que deban entrar y salir de las instalaciones del Registro que contengan datos a partir del nivel MEDIO. Como por ejemplo:

o Datos registrales

o Datos de los trabajadores de RRHH, salvo que solo sean las nóminas.

Verificar que en SYGILO o en otro documento análogo se dispone de las autorizaciones de entrada y salida de soportes físicos.

27

Externalización de soportes físicos que almacenen datos personales de nivel ALTO. Como por ejemplo:

o Copias de seguridad de datos registrales

o Soportes con datos judiciales.

o Soportes con datos de salud, partes médicos u otros de los trabajadores.

Verificar que la externalización de estos soportes de nivel alto fuera del Registro se realiza cifrando el contenido de los mismos o aplicando otros mecanismos que aseguren que no se tenga acceso a la información durante su traslado. Por ejemplo, mediante el transporte en maletines cerrados con llave.

28 Destrucción de soportes que contengan datos personales.

Verificar que el Registro dispone y hace uso de uno o varios de los siguientes mecanismos de destrucción de soportes físicos:

o Cubos de destrucción confidencial de soportes contratados con empresas externas de destrucción

o Destructoras de soportes en el Registro

o Contratar bajo demanda el servicio en empresas especializadas que estén autorizadas para emitir certificados de destrucción

En caso de no disponer de ninguno de estos mecanismos, verificar que la destrucción de los soportes se realice de forma que se asegure que la información que contienen sea irrecuperable.

29 Gestión de incidencias de seguridad que se produzcan en el Registro.

Verificar que todas las incidencias que se detecten, se registran en SYGILO (o a través de cualquier otro documento al efecto) y son gestionadas internamente por el Registro. Como por ejemplo :

o Incidencias relacionadas con los edificios y dependencias del Registro (Robos, accesos no autorizados, etc.).

12



o Incidencias relacionadas con los soportes que gestiona directamente el Registro (p.ej. pérdida de los mismos, rotura o destrucción total o parcial sobre los soportes, salida no autorizada, etc.).

o Incidencias relacionadas con la documentación gestionada internamente en el Registro (p.ej. Entrega de notas simples de forma errónea a personas distintas del interesado, perdidas de documentación, robo o sustracción de documentación, daño sobre la documentación, Etc.).

o Incidencias relacionadas con el suministro de energía en las instalaciones o Centro de Proceso de Datos (CPD) o Sala de Servidores del Registro.

30 Revisión trimestral del registro de incidencias de seguridad.

Verificar que se revisan trimestralmente las incidencias internas, y que quedan reflejadas en SYGILO (o en otro documento análogo al efecto) en el Registro de Incidencias, ya sean:

o Las tipificadas por el propio Registro.

o Las volcadas por el CORPME.

o Las notificadas por un proveedor externo.

o Otras incidencias que el Registro deba registrar (por ejemplo, porque lo establezca un convenio del que el Registro es parte).

31 Identificación de los proveedores del Registro

(encargados del tratamiento y proveedores sin acceso a datos).

Verificar que se dispone de un listado actualizado (en SYGILO o en otro documento análogo al efecto) de los proveedores, en los que conste el tipo de proveedor qué es en base al acceso a datos que disponga en función el servicio prestado.

32 Identificación de los clausulados LOPD en los contratos

de los proveedores del Registro (encargados del tratamiento y proveedores sin acceso a datos).

Verificar que se dispone del clausulado en materia de protección de datos adecuado para cada tipo de proveedor del Registro en función del tipo de tratamiento o acceso a datos que tengan estos proveedores.

33 Identificación del modelo de recepción y firma de las

normas de uso y buenas prácticas de los recursos del Registro por parte de los proveedores del mismo.

Verificar que se ha notificado al proveedor el documento de normas de uso y buenas prácticas como modo de dar cumplimiento al RDLOPD. Por ejemplo, trasladando directamente al proveedor las normas de uso, de tal forma que puedan ser conocidas por todos aquellos trabajadores externos que utilicen los recursos del Registro.

34 Identificación de los clausulados LOPD en los contratos de los trabajadores.

Verificar que se dispone del clausulado en materia de protección de datos en los contratos de los trabajadores.

13



35 Identificación del modelo de recepción y firma de las

normas de uso y buenas prácticas de los recursos del Registro por parte de los trabajadores.

Verificar que se ha notificado a los trabajadores las normas de uso y buenas prácticas para la seguridad de la información del Registro.

36 Identificación de los clausulados LOPD en los documentos registrales.

Verificar que se dispone del clausulado en materia de protección de datos en los documentos Registrales (pie de notas simples, certificaciones, modelos de entrada, etc.)

37 Convenios y Acuerdos que el Registro pretenda suscribir.

Verificar que se observa el procedimiento colegial establecido al efecto para la firma de Convenios o Acuerdos.

Cuando un Registro tenga dudas del contenido o alcance de alguno de los convenios firmados o previstos para firma, deberá consultarlas en primera instancia con su Decanato Autonómico. Una vez se realice dicha consulta, el Decanato Autonómico seguirá el protocolo del CORPME establecido al efecto.

38 Responsabilidades de formación del Responsable de

Seguridad y Suplente.

Responsabilidades de formación de todo el personal del Registro a través de Aprend@.

Verificar que se ha facilitado al resto del personal del Registro el material de formación y concienciación en materia de protección de datos que se encuentra disponible en Aprend@, dirigido a la totalidad del personal del Registro, como monográficos u otros cursos.

39 Todos los ficheros auditables en materia de protección de

datos. Esto es, todos los que contengan datos de carácter personal a partir del nivel MEDIO.

Verificar que se haya realizado una Auditoria interna o externa en materia de protección de datos, para ficheros públicos y privados, al menos en los dos años anteriores.

40

En la totalidad de los servidores y equipos que almacenen datos de carácter personal deben realizarse copias de seguridad al menos semanalmente, Por ejemplo, en:

o Servidores con aplicaciones o entornos colegiales.

o Servidores con aplicaciones o entornos no colegiales.

o Servidores de dominio y ficheros del Registro.

o Otros servidores o equipos con datos de carácter personal

Verificar que al menos semanalmente se realiza una copia de seguridad de toda la información de carácter personal que se trata en los Registros.

14



41 Gestión de incidencias de seguridad que se produzcan en la realización de copias de seguridad.

Verificar que se registran en SYGILO (o en otro documento análogo al efecto) las incidencias derivadas de la realización de copias de respaldo que se detecten.

42

Entornos no colegiales donde se traten datos de carácter personal. Por ejemplo:

o Aplicaciones registrales no colegiales.

o Aplicaciones de nóminas o de contabilidad.

o Otras.

Verificar, al menos cada seis meses, que a través de las copias de respaldo que se realizan se es capaz de restaurar el entorno completo. Esta verificación se coordinará con los diferentes proveedores de los entornos o establecer mecanismos internos para la ejecución de esta restauración.

Verificar que estas restauraciones periódicas y sus resultados se registran en SYGILO.

43 Autorizaciones de las recuperaciones de datos en

cualquier entorno o aplicación del registro donde se produzca una pérdida de datos de carácter personal.

Verificar que se registran y autorizan en SYGILO (o en otro documento análogo al efecto) por el personal competente las recuperaciones de datos personales del Registro cuando éstas son necesarias.

44 Almacenamiento de soportes de copias de seguridad en lugares con mecanismos de control de acceso.

Verificar que el Registro dispone de lugares de almacenamiento para soportes con mecanismos de control de acceso, tales como despachos o salas cerradas, RACKs (bastidor destinado a alojar equipamiento electrónico, informático y de comunicaciones) cerrados con llave, cajoneras, armarios u otros.

45 Externalización de soportes de copias de seguridad con datos de nivel alto.

Verificar que al menos de forma semanal se extrae del Registro una copia de respaldo de los datos personales de nivel alto en una ubicación alternativa a las instalaciones del Registro. Por ejemplo:

o Mediante la adscripción a proyectos colegiales al respecto, en caso de existir.

o Contratando una empresa externa al efecto.

o Externalizando a cajas fuertes en bancos.

o Mediante otro procedimiento que garantice que la información no sea accesible o manipulada durante su transporte.

46 Gestión de permisos de usuarios para todos los sistemas de información del Registro que traten datos de carácter personal.

Verificar que las altas y modificaciones de acceso de los usuarios para la asignación de los privilegios de acceso en los sistemas de información del Registro están autorizadas por el personal competente definido.

Verificar que para estas solicitudes, se guarda la documentación que acredita esta autorización durante al menos 2 años. Por ejemplo:

o Mediante el formulario de alta, baja o modificación de permisos disponible en SYGILO.

15



o Mediante correos electrónicos o faxes.

o Mediante cualquier otro documento que permita guardar traza.

47 Gestión de las bajas de los usuarios en todos los sistemas

de información del Registro que traten datos de carácter personal.

Verificar que las bajas de los usuarios son notificadas a los Administradores de las aplicaciones del Registro.

Verificar que para estas notificaciones, se guarda la documentación que acredita esta baja durante al menos 2 años. Por ejemplo:

o Mediante el formulario de alta, baja o modificación de permisos disponible en SYGILO.


o Mediante cualquier otro documento que permita guardar traza.

48 Medidas de identificación, autenticación, control de

acceso y trazabilidad a todas las aplicaciones que traten datos de carácter personal.

Verificar que se dispone en el Registro de usuarios personalizados y perfiles de acceso a todos los sistemas de información del Registro que traten datos de carácter personal.

49

Medidas de identificación, autenticación, control de acceso y trazabilidad a las aplicaciones no colegiales. Como por ejemplo:

o Aplicaciones registrales no colegiales.

o Aplicaciones de nóminas o de contabilidad.

o Otras.

Verificar que se ha transmitido al proveedor los criterios definidos para establecimiento de medidas técnicas, y de alguna manera es posible la acreditación de que dicho proveedor los ha tenido en consideración. Por ejemplo:

o Mediante envío por correo electrónico con acuse de recibo de los requisitos tecnológicos enumerados en el Manual LOPD.

o Mediante un documento formal emitido por el proveedor donde se asegure su implantación o la celebración de un anexo al contrato que recoja estas medidas de seguridad técnicas de los sistemas de información.

50 Registro de acceso para todas las aplicaciones que traten datos de carácter personal de nivel ALTO.

Verificar que mensualmente se revisan los registros de accesos para datos de nivel alto en los sistemas de información que los traten. Los criterios que se pueden verificar a la hora de realizar esta revisión son los siguientes:

o Accesos realizados fuera del horario laboral y en fines de semana.

o Accesos con el objetivo de proceder a la eliminación masiva de datos por parte de un usuario.

o Accesos realizados para la consulta masiva de los datos de una persona.

o Otros criterios potencialmente sospechosos a criterio del Responsable de Seguridad

16



Verificar que se registra esta circunstancia en SYGILO o en cualquier otro documento análogo al efecto.

51

Proveedores que accedan de forma remota a los sistemas de nivel alto del Registro, por ejemplo:

o Sistemas con datos registrales.

o Sistemas con datos judiciales.

o Sistemas con datos de salud, partes médicos u otros de los trabajadores.

Verificar que es posible acreditar que los proveedores utilizan sistemas de cifrado para la transmisión de información. Por ejemplo:

o Mediante un documento emitido por el proveedor donde asegure dicha circunstancia.

o Mediante el contrato de encargado del tratamiento, estipulando expresamente en el mismo que toda transmisión de datos de nivel se realizará cifrando la información.

52 Todo el personal interno del Registro que acceda de forma remota a los sistemas del Registro.

Verificar que es las conexiones del personal interno del Registro que necesita acceder de forma remota a los sistemas de información del Registro utiliza mecanismos de comunicación remota que aseguren la confidencialidad de las transmisiones. Por ejemplo mediante la utilización de:

o Conexiones que utilicen túneles VPN autenticados mediante usuario y contraseña o certificado electrónico.

o Conexiones remotas cifradas autenticadas (tipo Terminal Server remoto o análogos)

o Conexiones privadas mediante líneas dedicadas

o Otras soluciones de conexión remota que aseguren los requisitos de identificación y autenticación, y el cifrado para transmisiones de nivel ALTO.

53 Responsabilidades de formación del Responsable de Seguridad y Suplente.

Responsabilidades en cuanto a formación de todos los trabajadores del Registro.

Verificar que se han realizado acciones de formación y concienciación en el Registro en esta materia, donde se recuerden las medidas de seguridad que hay que considerar en el puesto de trabajo, por ejemplo mediante correos electrónicos, acciones formativas realizadas en esta materia como charlas o convocatorias de cursos, comunicados en paneles del Registro, etc.

Al respecto de estas actividades de formación, en concreto, se podría considerar trasladar en esta materia los siguientes temas:

o Que la responsabilidad sobre la información que se maneja en el puesto de trabajo es del propio trabajador.

o El establecimiento de una política de mesas limpias.

o La importancia de custodia de documentación en los dispositivos del Registro bajo su responsabilidad.

o La utilización de protector de pantalla que impida la visualización de los datos o por otro medio adecuado para ello (por ejemplo, la combinación de teclas que bloquea el equipo: “Control + Alt +

17



Supr + Enter” o “Tecla Windows+L”).

54 Autorizaciones formales en relación a los accesos

remotos que se produzcan en el Registro en relación a:

o Terceros.

o Personal del registro.

Verificar que los accesos remotos tanto de terceros como por parte del personal del Registro, están efectivamente autorizados por el personal competente del Registro.

Verificar que se guardan estas autorizaciones que acreditan estas solicitudes de acceso remoto. Por ejemplo:


o Mediante formularios elaborados al efecto, ya sea por el CORPME u otros que el Registro considere.

55 Software antivirus, antispam, y resto de software

relacionado con la seguridad informática.

Todos los puestos, sistemas, entornos, servidores y aplicaciones que maneje el Registro.

Verificar que se dispone en el Registro de software antivirus y antispam, que se mantiene actualizado de forma periódica y que se realizan escaneos programados de los puestos y servidores del Registro.

56 Proveedores de desarrollo de aplicaciones que utilice

datos personales responsabilidad del Registro a la hora de realizar pruebas necesarias para el desarrollo de programas.

Verificar que las pruebas deben hacerse con datos reales y no es posible hacerlas de forma disociada.

Verificar que se dispone de la autorización necesaria por el personal competente del Registro para que el proveedor realice dichas pruebas.

Verificar que se hace constar esta circunstancia en el “Registro Incidencias” de SYGILO.

57 Local o locales del Registro.

Separación entre la zona pública y la privada del Registro

Verificar que el local dispone de una zona para atención al público y una zona privada para desarrollar la actividad laboral (área de los trabajadores, despacho del Registrador, archivo registral, CPD, etc.).

Verificar que estas zonas estén claramente diferenciadas.

58 Seguridad en los locales del Registro.

Verificar que se dispone de medidas de seguridad física y medioambientales de carácter general como por ejemplo:

o Sistemas anti-incendio que cumplan con la normativa vigente.

o Sistemas de alarma en el local.

o Mecanismos de seguridad en puertas y ventanas con acceso desde el exterior.

18



59 Cartel de Video-vigilancia. Verificar que en caso de disponer de sistemas de video-vigilancia en las instalaciones del Registro se dispone del cartel informativo propuesto por la AEPD.

60 Separación entre la zona pública y la privada del local del Registro..

Verificar que la separación entre la zona pública y la privada del Registro se realiza mediante puertas u otras medidas que evidencien el carácter restringido, prohibido y privado de la zona a la que se accede. Entre estas medidas compensatorias se pueden considerar por ejemplo:

o Postes separadores de cordón.

o Cintas extensibles.

o Carteles de aviso.

o Mostradores.

o Otros medios similares o alternativos.

61 Espacio físico dedicado al CPD dentro del local del Registro.

Verificar que se dispone de un espacio físico exclusivamente dedicado al CPD dentro de la zona privada del Registro (área restringida) que cuente con mecanismos de control de acceso a su interior.

En caso de no disponer de este espacio exclusivo dedicado al CPD, verificar que se establecen mecanismos alternativos de custodia que garanticen que exclusivamente el personal autorizado tenga acceso al lugar donde se esté instalado el CPD. Por ejemplo:

o Señalizar y separar debidamente la ubicación indicando el acceso restringido a la misma.

o Asegurarse que el CPD no se encuentra en las zonas de trabajo sin custodiar o en zonas de paso.

o Incidir en medidas de concienciación del personal.

o Otros medios alternativos que se consideren.

62 Identificación del personal autorizado a acceder al CPD.

Verificar que se ha identificado en SYGILO (o en otro documento análogo elaborado al efecto) el personal del Registro o externo autorizado expresamente para acceder al CPD. En el caso de externos, por ejemplo:

o Personal externo de mantenimiento de equipos.

o Personal de servicios de limpieza del local.

o Otros que el Registro considere.

19



63 Identificación del personal externo con acceso al CPD y control del mismo.

Verificar que se acompaña al personal externo que realiza labores de mantenimiento o de otra naturaleza en el interior del CPD durante el desarrollo de sus funciones.

Verificar que, en caso de no hacerlo, se ejerce algún mecanismo de control alternativo, como por ejemplo:

o Dejar constancia en SYGILO (o en otro documento análogo elaborado al efecto) de la autorización de ese acceso puntual.

64 Seguridad en los locales del CPD. Verificar que el CPD dispone de equipos de aire acondicionado, alimentación ininterrumpida y de detección y extinción de incendios.

65 Control de acceso físico a los locales del Registro. Verificar que existen mecanismos de control de acceso a las instalaciones del Registro basados en, por

ejemplo, tornos, control mediante el personal de seguridad del edificio del Registro o tarjetas identificativas.

66 Identificación del personal autorizado a acceder a las instalaciones del Registro.

Verificar que se dispone en SYGILO (o en otro documento análogo elaborado al efecto) la relación de personal autorizado para acceder a las diferentes áreas de las instalaciones del Registro.

67 Control de acceso del personal externo sin acceso a datos.

Verificar que su actividad se realiza durante el horario laboral bajo la supervisión de los trabajadores.

Verificar que en caso de realizarse fuera de este horario, se establecen mecanismos para evitar que la información del Registro sea accedida por estos terceros. Como por ejemplo:

o Dejar constancia en SYGILO (o en otro documento análogo elaborado al efecto) de la autorización de ese acceso fuera de horario laboral.

o Establecer un sistema de registro de accesos (manual o automático) para este tipo de personal que acceda fuera de horario.

o Cumplir con las garantías contractuales necesarias en cuanto al clausulado LOPD a incluir en los contratos para este tipo de proveedores.

68 Control de acceso a la zona privada del Registro por parte de visitas.

o Se entiende por visita, el acceso a la zona privada de todo personal que no sea trabajador del propio Registro, incluido el acceso de personal de otros Registros.

Verificar que se dispone de un libro de visitas donde se anoten las personas que acceden a la zona privada del Registro.

Verificar que este libro de visitas cumple con los requisitos en materia LOPD, acorde al Manual LOPD.

Verificar que se elimina transcurrido el periodo de un mes.

20



Verificar que en caso de no disponer de un libro de visita se llevan otro tipo de controles análogos que defina el Responsable de Seguridad y su suplente.

69

Responsabilidades de custodia de todo el personal del Registro, en cuanto al control de acceso a la zona privada del Registro por parte de visitas.

o Se entiende por visita, el acceso a la zona privada de todo personal que no sea trabajador del propio Registro, incluido el acceso de personal de otros Registros.

Verificar que durante el acceso de las visitas se realiza un control adecuado de su presencia en la zona privada. Por ejemplo:

o Acompañándoles durante su recorrido.

o Teniendo siempre a la vista a las visitas, de tal modo que no puedan acceder ni sustraer ningún tipo de información.

21

ANEXO I – CATÁLOGO DE PREGUNTAS DE LA AUDITORÍA 2014-2016


Número de pregunta Contenido de la pregunta

1 ¿El Responsable de Seguridad y/o su suplente han realizado los cursos en materia de protección de datos impartidos por el Colegio de Registradores en la plataforma Aprend@ (curso pre-auditoria, post-auditoria, monográficos, etc)?

2¿El Responsable de Seguridad y/o su suplente se han leído y tienen conocimiento de los criterios establecidos en el “Manual LOPD Registro de la Propiedad, Mercantil y de Bienes Muebles”?

3¿El Responsable de Seguridad y/o su suplente han realizado algún plan de concienciación interno del personal que incida en los criterios establecidos en el Manual LOPD? (por ejemplo, mediante comunicados por correo electrónico, charlas internas, comunicados en paneles de anuncios, etc.)

4¿El Responsable de Seguridad y/o su suplente han realizado un seguimiento de los planes de acción propuestos en las auditorias anteriores y han adoptado las medidas correctoras o preventivas propuestas?

5¿Todo el personal del Registro han realizado los cursos en materia de protección de datos puesto a disposición del Registro por el Colegio de Registradores a través de la plataforma Aprend@?

6¿El Responsable de Seguridad y/o su suplente han identificado e inventariado en SYGILO (en el apartado correspondiente de SYGILO) a nivel de archivo, armario o cualquier otra tipología de contenedor la documentación en papel del Registro? (Tanto para ficheros públicos como privados del Registro)

7¿El Responsable de Seguridad y/o su suplente han etiquetado los contenedores de documentación de tal forma que permita identificar el tipo de información que contienen y se ha hecho constar esta circunstancia en SYGILO?

8 ¿Se han establecido en el Registro los criterios de archivo necesarios para la documentación que forma parte de los ficheros privados?

9¿El almacenamiento final de la documentación, tanto de ficheros públicos como privados, se realiza en dispositivos dotados de mecanismos de apertura, como por ejemplo cerraduras, candados u otros similares?

10 ¿Se realiza una adecuada política de gestión de llaves de tales dispositivos? (asignación de responsabilidades, selección del lugar de almacenamiento de las llaves, etc.)

11Para el archivo de tomos registrales, ¿se dispone de un área con dedicación exclusiva de archivo con mecanismos de control de acceso a su interior? En caso negativo, ¿se han adoptado medidas alternativas, como por ejemplo, el almacenamiento de los tomos en armarios, archivadores o estanterías dotadas de mecanismos de apertura mediante llave?

12 En caso de disponer de Archivo Común, ¿se garantiza que las puertas de acceso permanezcan cerradas mientras no se esté haciendo uso del mismo?

13 ¿Se han habilitado mecanismos de registro de acceso para la documentación con datos de

22



carácter personal de nivel alto para ficheros de carácter público o privado del Registro?

14¿El Responsable de Seguridad y/o su suplente han transmitido a los empleados los criterios de "Custodia de documentación" contenidos en el "Manual LOPD Registro de la Propiedad, Mercantil y de Bienes Muebles"?

15 ¿Se encuentran los dispositivos de fotocopias, impresión, escaneo y fax bajo control del personal del Registro y se retira la documentación de los mismos al final de la jornada laboral?

16 ¿El personal retira, al finalizar la jornada laboral, la documentación de las mesas y la almacena en lugares cerrados o custodiados?

17¿El Responsable de Seguridad y/o su suplente controlan que se tiren a la papelera o cualquier otro contenedor que pueda terminar en un contenedor público las fotocopias de documentos de trabajo sin realizar una destrucción previa de la misma? ¿El Responsable de Seguridad y/o su suplente controlan y evitan la reutilización de papel para la emisión de fotocopias de trabajo?

18 ¿El Responsable de Seguridad y/o su suplente han identificado y completado en SYGILO las autorizaciones de entrada y salida de documentación?

19 ¿El Responsable de Seguridad y/o su suplente almacenan los albaranes de entrega y recogida de servicios de mensajería externos durante dos años?

20¿Se dispone de un lugar cerrado o permanentemente vigilado donde almacenar la documentación entregada por los servicios de mensajería o a la espera de salir del Registro que asegure que no va a ser accedida por el personal no autorizado y designado a tal efecto para su custodia?

21¿Se conoce la existencia y la localización de un protocolo de seguridad para el traslado de Registros? ¿Se han formalizado contratos de prestación de servicios para estos casos y se supervisa la actividad del transportista?

22

¿Se dispone de uno o varios de los siguientes mecanismos de destrucción de documentación?

- Cubos de destrucción con un tamaño adecuado al volumen de documentación generada para destruir

- Destructoras de papel que garanticen que el documento no se podrá reutilizar

- Servicios especializados de destrucción que emitan un certificado de destrucción para su almacenamiento en el Registro durante al menos 2 años

23¿El Responsable de Seguridad y/o su suplente controlan la acumulación o amontonamiento de documentación para destruir en zonas no custodiadas y depositar documentación con datos de carácter personal en papeleras, cubos de cartón u otros lugares no habilitados para la destrucción de documentación con datos de carácter personal?

24¿El Responsable de Seguridad y/o su suplente han completado en SYGILO el apartado que incluye el inventario de soportes físicos? ¿Está actualizado? (discos de back up, discos duros externos del Registro, USBs, equipos y dispositivos portátiles, CDs y DVDs, etc.)

25 ¿Los soportes físicos se encuentran en lugares de almacenamiento controlados? Como por ejemplo:

- Zonas restringidas con control de acceso, al que únicamente tenga acceso el personal autorizado (despachos cerrados con llave, salas de acceso restringido, etc.)

- Cajoneras personales con cerradura, armarios cerrados con llave o cualquiera otro dispositivo

23



que impida el acceso del personal no autorizado.

- Armarios ignífugos con acceso restringido al personal autorizado.

26 ¿El Responsable de Seguridad y/o su suplente han identificado y completado en SYGILO las autorizaciones de entrada y salida de soportes físicos?

27Para soportes físicos que almacenen datos de nivel alto y se externalicen fuera del Registro, ¿se realiza cifrando el contenido de los mismo o aplicando otros mecanismos que aseguren que no se tenga acceso a la información durante su traslado? (por ejemplo, transporte en maletines cerrados con llave)

28

¿Se dispone de uno o varios de los siguientes mecanismos de destrucción de soportes físicos?

- Cubos de destrucción confidencial de soportes contratados con empresas externas de destrucción.

- Destructoras de soportes en el Registro

-Contratar bajo demanda el servicio en empresas especializadas que estén autorizadas para emitir certificados de destrucción.

En caso de no disponer de ninguno de estos mecanismos, ¿el Responsable de Seguridad y/o su suplente seleccionan mecanismos mediante los cuales pueda asegurar que no se tenga acceso al contenido posteriormente?

29

¿El Responsable de Seguridad y/o su suplente registran en SYGILO todas las incidencias que sean gestionadas internamente por el Registro? Como por ejemplo:

- Incidencias relacionadas con los edificios y dependencias del Registro (Robos, accesos no autorizados, etc.).

- Incidencias relacionadas con los soportes que gestiona directamente el Registro (p.ej. pérdida de los mismos, rotura o destrucción total o parcial sobre los soportes, salida no autorizada, etc.).

- Incidencias relacionadas con la documentación gestionada internamente en el Registro (p.ej. Entrega de notas simples de forma errónea a personas distintas del interesado, perdidas de documentación, robo o sustracción de documentación, daño sobre la documentación, Etc.).

- Incidencias relacionadas con el suministro de energía en las instalaciones o Centro de Proceso de Datos (CPD) o Sala de Servidores del Registro.

30¿El Responsable de Seguridad y/o su suplente revisan trimestralmente las incidencias internas que quedan reflejadas en SYGILO, en el Registro de Incidencias, ya sean las tipificadas por el propio Registro, las volcadas por el CORPME o las notificadas por un proveedor externo?

31 ¿El Responsable de Seguridad y/o su suplente han identificado en SYGILO los distintos proveedores con los que cuenta el Registro (tanto con acceso a datos como sin dicho acceso)?

32¿Existen en el Registro contratos formalizados con el clausulado de protección de datos adecuado (cuyos modelos se pueden localizar en SYGILO) en función del tipo de tratamiento o acceso para todos los proveedores de servicio del Registro?

33Además del clausulado anteriormente referenciado, para aquellos proveedores que hagan uso de los recursos del Registro, ¿se ha firmado la recepción de las normas de uso y buenas prácticas para la seguridad de la información?

34 ¿Existen los correspondientes anexos a los contratos de trabajo, en materia de protección de datos, de los trabajadores del Registro?

24



35 ¿Se ha firmado la recepción de las normas de uso y buenas prácticas para la seguridad de la información?

36 ¿Se dispone del clausulado correspondiente en materia de protección de datos en los documentos Registrales? (pie de notas simples, certificaciones, modelos de entrada, etc.)

37 En aquellos convenios en los que el Registro sea parte, ¿se dispone de convenio formalizado a través del Decanato Territorial?

38¿El Responsable de Seguridad y/o su suplente facilitan al personal del Registro el material de formación y concienciación en materia de protección de datos que se encuentra disponible en Aprend@ u otros recursos que pueda ser de relevancia para éstos?

39¿El Responsable de Seguridad y/o su suplente controlan que se ha realizado una Auditoria interna o externa en materia de protección de datos, para ficheros públicos y privados, al menos en los dos años anteriores?

40

¿Se realiza al menos semanalmente una copia de respaldo de los servidores y equipos del Registro que almacenen datos de carácter personal? El alcance de las copias debe considerar por ejemplo:

- Servidores con aplicaciones o entornos colegiales.

- Servidores con aplicaciones o entornos no colegiales.

- Servidores de dominio y ficheros del Registro.

- Otros servidores o equipos con datos de carácter personal.

41 ¿Se registran en SYGILO las incidencias derivadas de la realización de copias de respaldo que detecte el Responsable de Seguridad y/o su suplente del Registro?

42En entornos no colegiales, ¿se ha comprobado, al menos cada seis meses, que a través de las copias de respaldo que se realizan se es capaz de restaurar el entorno completo? ¿Estas restauraciones periódicas y sus resultados se registran en SYGILO?

43 ¿El Responsable de Seguridad y/o su suplente registran y autorizan en SYGILO las recuperaciones de datos personales del Registro cuando éstas son necesarias?

44¿Se almacenan los soportes de copias de seguridad cuando no están siendo utilizados en lugares que dispongan de mecanismos de control de acceso para personal no autorizado? Como por ejemplo, despachos o salas cerradas, RACKs (bastidor destinado a alojar equipamiento electrónico, informático y de comunicaciones) cerrados con llave, cajoneras, armarios u otros.

45¿Se dispone de una copia de respaldo de los datos personales de nivel alto del Registro que se extrae al menos de forma semanal en una ubicación alternativa a las instalaciones del Registro? Por ejemplo, a través de una empresa externa.

46¿Las altas y modificaciones de acceso de los usuarios para la asignación de los privilegios de acceso en los sistemas de información del Registro están autorizadas por el personal competente definido? Para estas solicitudes, ¿el Responsable de Seguridad y/o su suplente guardan la documentación que acredita esta autorización en todos los casos de estas solicitudes durante al menos 2 años? Por ejemplo, mediante correos electrónicos o faxes.

47 ¿Las bajas de los usuarios del Registro son notificadas a los Administradores de las aplicaciones del Registro cuando estas se producen y el Responsable de Seguridad y/o su suplente guardan

25



la documentación de estas solicitudes durante al menos 2 años? Por ejemplo, mediante correos electrónicos o faxes.

48 ¿Se dispone en el Registro de usuarios personalizados y perfiles de acceso a los sistemas de información del Registro?

49

Para entornos no colegiales, ¿el Responsable de Seguridad y/o su suplente han transmitido al proveedor los criterios definidos para establecimiento de medidas técnicas, y de alguna manera es posible la acreditación de que dicho proveedor los ha tenido en consideración? Por ejemplo, mediante envío por correo electrónico con acuse de recibo de los requisitos tecnológicos enumerados en el Manual práctica para el tratamiento de datos de carácter personal o un documento formal emitido por el proveedor donde se asegure su implantación o la celebración de un anexo al contrato que recoja estas medidas de seguridad técnicas de los sistemas de información.

50¿Revisa el Responsable de Seguridad y/o su suplente mensualmente los registros de accesos para datos de nivel alto en los sistemas de información que los traten y registran esta circunstancia en SYGILO?

51Para los proveedores que accedan de forma remota a los sistemas de nivel alto del Registro, ¿es posible acreditar que utilizan sistemas de cifrado para la transmisión de información? Por ejemplo, mediante un documento emitido por el proveedor donde asegure dicha circunstancia.

52Para las conexiones remotas que se produzcan por parte de personal interno del Registro a través de equipos portátiles o conexiones dedicadas, ¿tal conexión se realiza mediante VPN u otro sistema que asegure el cifrado de las comunicaciones desde el exterior?

53

¿El Responsable de Seguridad y/o su suplente realizan actividades de concienciación periódica a los trabajadores donde se recuerden las medidas de seguridad que hay que considerar en el puesto de trabajo? Por ejemplo:

- Que la responsabilidad sobre la información que se maneja en el puesto de trabajo es del propio trabajador.

- El establecimiento de una política de mesas limpias

- La importancia de custodia de documentación en los dispositivos del Registro bajo su responsabilidad.

- La utilización de protector de pantalla que impida la visualización de los datos o por otro medio adecuado para ello (por ejemplo, la combinación de teclas que bloquea el equipo: “Control + Alt + Supr + Enter” o “Tecla Windows+L”).

54Los accesos remotos tanto de terceros como por parte del personal del Registro, ¿están autorizados por el personal competente del Registro y el Responsable de Seguridad y/o su suplente guardan o mantienen la documentación que acredita esta autorización en todos los casos de estas solicitudes de acceso remoto? Por ejemplo, mediante correos electrónicos o faxes.

55¿El Responsable de Seguridad y/o su suplente se ha asegurado que dispone en el Registro de software antivirus y antispam, que se mantiene actualizado de forma periódica y que se realizan escaneos programados de los puestos y servidores del Registro?

56En caso de disponer de un proveedor para el desarrollo de aplicaciones que necesite realizar pruebas con datos reales en sus instalaciones o volcados de datos reales a sus sistemas de información, ¿están autorizadas por el personal competente del Registro y el Responsable de Seguridad y/o su suplente hace constar esta circunstancia en el “Registro Incidencias” de SYGILO?

26



57¿El local dispone de una zona para atención al público y una zona privada para desarrollar la actividad laboral (área de los trabajadores, despacho del Registrador, archivo registral, CPD, etc.) claramente diferenciadas?

58¿Se dispone de medidas de seguridad física y medioambientales de carácter general como sistemas anti-incendio que cumplan con la normativa vigente, sistemas de alarma en el local o mecanismos de seguridad en puertas y ventanas con acceso desde el exterior?

59 En caso de disponer de sistemas de video-vigilancia en las instalaciones del Registro, ¿se dispone del cartel informativo propuesto por la AEPD?

60

¿La separación entre la zona pública y la privada del Registro se realiza mediante puertas u otras medidas que evidencien el carácter restringido, prohibido y privado de la zona a la que se accede? Entre estas medidas compensatorias se pueden considerar por ejemplo:

- Postes separadores de cordón.

- Cintas extensibles.

- Carteles de aviso.

- Mostradores.

- Otros medios similares o alternativos.

61

¿Se dispone de un espacio físico exclusivamente dedicado al CPD dentro de la zona privada del Registro (área restringida) que cuente con mecanismos de control de acceso a su interior?

En caso de no disponer de este espacio físico exclusivo, ¿se establecen mecanismos alternativos de custodia que garanticen que exclusivamente el personal autorizado tenga acceso al lugar donde se esté instalado el CPD? Por ejemplo:

- Señalizar y separar debidamente la ubicación indicando el acceso restringido a la misma.

- Asegurarse que el CPD no se encuentra en las zonas de trabajo sin custodiar o en zonas de paso.

- Incidir en medidas de concienciación del personal.

- Otros medios similares o alternativos.

62 ¿El Responsable de Seguridad y/o su suplente han identificado en SYGILO al personal del Registro o externo autorizado expresamente por el Registro para acceder al CPD?

63¿Se acompaña al personal externo que realiza labores de mantenimiento o de otra naturaleza en el interior del CPD durante el desarrollo de sus funciones? En caso contrario, ¿se ejerce algún mecanismo de control alternativo como por ejemplo dejar constancia en SYGILO de la autorización de ese acceso puntual?

64 ¿El CPD dispone de equipos de aire acondicionado, alimentación ininterrumpida y de detección y extinción de incendios?

65¿Existen mecanismos de control de acceso a las instalaciones del Registro basados en, por ejemplo, tornos, control mediante el personal de seguridad del edificio del Registro o tarjetas identificativas?

66 ¿El Responsable de Seguridad y/o su suplente han incluido en SYGILO la relación de personal autorizado para acceder a las diferentes áreas de las instalaciones del Registro?

67 Para personal externo sin acceso a datos, ¿su actividad se realiza durante el horario laboral bajo la supervisión de los trabajadores? En el caso de realizarse fuera de este horario ¿se establecen

27



mecanismos para evitar que la información del Registro sea accedida por estos terceros?

68 ¿Se dispone de un libro de visitas donde se anote las personas que acceden a la zona privada del Registro? ¿Este libro de visitas se elimina transcurrido el periodo de un mes?

69Durante el acceso de las visitas, ¿el personal del Registro realiza un control adecuado de su presencia en la zona privada? Por ejemplo, acompañándoles durante su recorrido o tener siempre a la vista a las visitas, de tal modo que no puedan acceder ni sustraer ningún tipo de información.

28

Colegio de Registradores de Españaregistradores.org/mailing/extremadura/Guia_operativa... · Web...

Documents

Transcript of Colegio de Registradores de Españaregistradores.org/mailing/extremadura/Guia_operativa... · Web...