El Document de SeguretatEl Document de Seguretat

Joan BarcelóJoan Barceló

CISA, CISMCISA, CISM

Marc LegalMarc Legal

Directiva Europea 95/46/CE.Directiva Europea 95/46/CE. LEY ORGANICA 5/92 de 29 de Octubre de LEY ORGANICA 5/92 de 29 de Octubre de

Regulación del Tratamiento Automatizado de Regulación del Tratamiento Automatizado de DatosDatos..

REAL DECRETO 994/99, de 11de Junio, en el que REAL DECRETO 994/99, de 11de Junio, en el que se aprueba el Reglamento de medidas de se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que seguridad de los ficheros automatizados que contengan datos de carácter personal.contengan datos de carácter personal.

LEY ORGANICA 15/99 de 13 de Desembre de LEY ORGANICA 15/99 de 13 de Desembre de Protección de Datos de Carácter PersonalProtección de Datos de Carácter Personal

Nou Reglament de la Llei 15/99 ?.Nou Reglament de la Llei 15/99 ?.

Reglament 994/99Reglament 994/99

Tres nivells de seguretat.Tres nivells de seguretat. Figura del Responsable de Seguretat.Figura del Responsable de Seguretat. Terminis per estar adaptats al Terminis per estar adaptats al

reglament ja ultrapassats.reglament ja ultrapassats. Obligació de crear un Document de Obligació de crear un Document de

Seguretat.Seguretat.

Definició D.S.Definició D.S.

És un document elaborat pel És un document elaborat pel Responsable del Fitxer, on es dicten i Responsable del Fitxer, on es dicten i implanten les mesures de seguretat implanten les mesures de seguretat que s’han d’aplicar sobre les dades de que s’han d’aplicar sobre les dades de caràcter personal i els sistemes caràcter personal i els sistemes d’informació que els tractend’informació que els tracten

Definicions del ReglamentDefinicions del Reglament

Sistema de información: Sistema de información: Conjunto de ficheros automatizados, Conjunto de ficheros automatizados, programas, soportes y equipos empleados para el programas, soportes y equipos empleados para el almacenamiento y tratamiento de datos de carácter personal.almacenamiento y tratamiento de datos de carácter personal.

UsuarioUsuario: Sujeto o proceso autorizado para acceder a datos o : Sujeto o proceso autorizado para acceder a datos o recursos.recursos.

RecursoRecurso: Cualquier parte componente de un sistema de : Cualquier parte componente de un sistema de información.información.

Accesos autorizados: Accesos autorizados: Autorizaciones concedidas a un usuario Autorizaciones concedidas a un usuario para la utilización de los diversos recursos.para la utilización de los diversos recursos.

IdentificaciónIdentificación: Procedimiento de reconocimiento de la identidad : Procedimiento de reconocimiento de la identidad de un usuario.de un usuario.

AutenticaciónAutenticación: Procedimiento de comprobación de la identidad : Procedimiento de comprobación de la identidad de un usuario.de un usuario.

Control del accesoControl del acceso: Mecanismo que en función a la identificación : Mecanismo que en función a la identificación ya autenticada permite acceder a datos o recursos.ya autenticada permite acceder a datos o recursos.

Definicions del ReglamentDefinicions del Reglament

ContraseñaContraseña: Información confidencial, frecuentemente : Información confidencial, frecuentemente constituida por una cadena de caracteres, que puede ser constituida por una cadena de caracteres, que puede ser usada en la autenticación de un usuario.usada en la autenticación de un usuario.

IncidenciaIncidencia: Cualquier anomalía que afecte o pudiera : Cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos.afectar a la seguridad de los datos.

SoporteSoporte: Objeto físico susceptible de ser tratado en un : Objeto físico susceptible de ser tratado en un sistema de información y sobre el cual se pueden grabar o sistema de información y sobre el cual se pueden grabar o recuperar datos.recuperar datos.

Responsable de seguridadResponsable de seguridad: Persona o personas a las que : Persona o personas a las que el responsable del fichero ha asignado formalmente la el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad función de coordinar y controlar las medidas de seguridad aplicables.aplicables.

Copia de respaldo: Copia de respaldo: Copia de los datos de un fichero Copia de los datos de un fichero automatizado en un soporte que posibilite su recuperaciónautomatizado en un soporte que posibilite su recuperación..

Cobertura del Document de Cobertura del Document de SeguretatSeguretat

Afecta als fitxers automatitzats, amb Afecta als fitxers automatitzats, amb dades de caràcter personaldades de caràcter personal

Als centres que els tracten (CPD)Als centres que els tracten (CPD) Locals (sucursals)Locals (sucursals) Equips i sistemes d’informacióEquips i sistemes d’informació ProgramesProgrames PersonalPersonal

FinalitatFinalitat

Garantir la seguretat de les dades de Garantir la seguretat de les dades de caràcter personalcaràcter personal

Evitar la alteració, pèrdua, Evitar la alteració, pèrdua, tractament indegut o accés no tractament indegut o accés no autoritzatautoritzat

Complir amb l’indicat al RD 994/99Complir amb l’indicat al RD 994/99

Principals ObjectiusPrincipals Objectius

ConfidencialitatConfidencialitatObligació de mantenir secret sobre les Obligació de mantenir secret sobre les dades.dades.

IntegritatIntegritatLes dades han d’estar actualitzades d’ofici i Les dades han d’estar actualitzades d’ofici i ser exactesser exactes

DisponibilitatDisponibilitatHan d’estar disponibles per si algun client Han d’estar disponibles per si algun client vol exercir el dret d’accés, modificació o vol exercir el dret d’accés, modificació o cancel·lació de dades. Política de còpies de cancel·lació de dades. Política de còpies de seguretat i contingència.seguretat i contingència.

Per que cal el Document de Per que cal el Document de Seguretat?Seguretat?

L’article 9 de la LORTAD (5/99) obliga L’article 9 de la LORTAD (5/99) obliga a adoptar unes mesures de seguretat a adoptar unes mesures de seguretat

Real Decret 994/99 desenvolupa el Real Decret 994/99 desenvolupa el seu contingutseu contingut

És el primer que demanaran els És el primer que demanaran els auditors (propis o “visita” de la auditors (propis o “visita” de la AEPD)AEPD)

Imprescindible per les empreses que Imprescindible per les empreses que presten serveis a altres empresespresten serveis a altres empreses

Com afrontar la elaboració del Com afrontar la elaboració del DSDS

... Tot i que ja hauria d’estar ... Tot i que ja hauria d’estar implantant implantant

Recollint tota la documentació escrita Recollint tota la documentació escrita dels procedimentsdels procediments

Documentant el que s'està fentDocumentant el que s'està fent Pensant en que es un document viuPensant en que es un document viu Concepte de tronc principal i annexesConcepte de tronc principal i annexes

Actitud davant la confecció del Actitud davant la confecció del DSDS

Ha de ser real tot el que es posa al DSHa de ser real tot el que es posa al DS Es pot tornar en contra nostre si fem Es pot tornar en contra nostre si fem

un tractat acadèmicun tractat acadèmic

Recordeu ..Recordeu ..És el primer que demanaran els auditors És el primer que demanaran els auditors (propis o si rebem una “visita” de la (propis o si rebem una “visita” de la AEPD)AEPD)

Punts a favor i en contraPunts a favor i en contra

Ajuda a recopilar les mesures de seguretat Ajuda a recopilar les mesures de seguretat disperses o indocumentadesdisperses o indocumentades

Ha d’estar aprovat per la DireccióHa d’estar aprovat per la Direcció Ajuda a fixar o adreçar les polítiques Ajuda a fixar o adreçar les polítiques

generals de l’empresagenerals de l’empresa Obliga a dedicar recursos a la seguretatObliga a dedicar recursos a la seguretat

Costa temps i diners ... que no sempre es Costa temps i diners ... que no sempre es tenen per seguretattenen per seguretat

Recolzament de DireccióRecolzament de Direcció

Imprescindible ‘vendre’ la necessitat Imprescindible ‘vendre’ la necessitat a Direcció. a Direcció.

Sensibilitzar a l’alta direcció i els Sensibilitzar a l’alta direcció i els comandaments immediats.comandaments immediats.

Incorporar la política de seguretat Incorporar la política de seguretat com a bé afegit de l’empresa.com a bé afegit de l’empresa.

Importància de la imatge.Importància de la imatge.

És d’obligat acompliment per totes És d’obligat acompliment per totes les persones que tinguin accés a les les persones que tinguin accés a les dades de caràcter personaldades de caràcter personal

Ha d'ésser aprovat per DireccióHa d'ésser aprovat per Direcció Pla de manteniment del documentPla de manteniment del document Pla d’auditoriesPla d’auditories

Característiques del DSCaracterístiques del DS

Nivells de seguretatNivells de seguretat BaixBaix

Tots els fitxers amb dades de caràcter personal han Tots els fitxers amb dades de caràcter personal han d’adoptar les mesures d’aquest nivelld’adoptar les mesures d’aquest nivell

MigMig Fitxers amb dades relatives a infraccions administratives Fitxers amb dades relatives a infraccions administratives

o penals, Hisenda pública, serveis financers i els afectats o penals, Hisenda pública, serveis financers i els afectats per l’article 28 de la llei Orgànica 5/92 (Rai, ASNEF, ...)per l’article 28 de la llei Orgànica 5/92 (Rai, ASNEF, ...)

Quan el conjunt de dades permeti obtenir un perfil de la Quan el conjunt de dades permeti obtenir un perfil de la personalitat d’un individupersonalitat d’un individu

AltAlt Fitxers amb dades sobre ideologia, religió, creences, Fitxers amb dades sobre ideologia, religió, creences,

origen racial, salut o vida sexualorigen racial, salut o vida sexual

Nivell BaixNivell Baix Tipus de dadesTipus de dades

Nom i cognoms, adreça postal, electrònica, IP, telèfon …Nom i cognoms, adreça postal, electrònica, IP, telèfon …

Mesures de seguretatMesures de seguretat Creació d’un Document de seguretatCreació d’un Document de seguretat Àmbit d’aplicacióÀmbit d’aplicació Mesures, normes i procedimentsMesures, normes i procediments Funcions i obligacions del personal, relació d’usuaris Funcions i obligacions del personal, relació d’usuaris

autoritzatsautoritzats Estructura dels fitxers i descripció dels sitemes que els tractenEstructura dels fitxers i descripció dels sitemes que els tracten Procediment de notificació, gestió i resposta sobre incidènciesProcediment de notificació, gestió i resposta sobre incidències Procediments de còpies de seguretatProcediments de còpies de seguretat Pla de manteniment del DSPla de manteniment del DS Identificació, autenticació i control d’accésIdentificació, autenticació i control d’accés

Nivell MigNivell Mig Tipus de dadesTipus de dades

Informació de serveis financers o quan el conjunt de dades Informació de serveis financers o quan el conjunt de dades permeti obtenir un perfil de personalitat.permeti obtenir un perfil de personalitat.

Infraccions administratives o penals, hisenda, RAI, ASNEF...Infraccions administratives o penals, hisenda, RAI, ASNEF...

Mesures de seguretatMesures de seguretat Mesures de nivell baixMesures de nivell baix Designació d’un o més Responsables de SeguretatDesignació d’un o més Responsables de Seguretat Pla d’auditoria bianualPla d’auditoria bianual Identificació i autenticació forta, amb control d’intentsIdentificació i autenticació forta, amb control d’intents Control d’accés físicControl d’accés físic Gestió de suportsGestió de suports Registre incidènciesRegistre incidències Proves amb dades realsProves amb dades reals

Nivell AltNivell Alt Tipus de dadesTipus de dades

Ideologia, religió, creences, origen racial, salut i vida Ideologia, religió, creences, origen racial, salut i vida sexualsexual

Dades amb finalitats policíaquesDades amb finalitats policíaques

Mesures de seguretatMesures de seguretat Mesures de nivell baix i migMesures de nivell baix i mig Distribució de suportsDistribució de suports Registre accessosRegistre accessos Còpies de seguretat i de recuperacióCòpies de seguretat i de recuperació TelecomunicacionsTelecomunicacions

Àrees de Document de Àrees de Document de SeguretatSeguretat

Àrea / Nivell Baix Mig Alt

Propòsit general

Document de Seguretat

Control d’accessos

Identificació i Autenticació

Registre d’incidències

Gestió de suports

Còpies de seguretat i de recuperació.

Proves amb dades reals

Responsable de seguretat

Auditoria

Telecomunicacions    

Articles per àreesArticles per àreesÀrea / Nivell Baix Mig Alt

Propòsit general 5,6,7,9

Document de Seguretat 8 15

Control d’accessos 12 19 24

Identificació i Autenticació 11 18

Registre d’incidències 10 21

Gestió de suports 13 20 23

Còpies de seguretat i de recuperació.

14 25

Proves amb dades reals 22

Responsable de seguretat 16 2828

Auditoria 17

Telecomunicacions 26

Mesures tècniquesMesures tècniques

Protecció d’actius.Protecció d’actius. Còpies de seguretat.Còpies de seguretat. Control d’accés lògic i físic.Control d’accés lògic i físic. Control d’entrada i sortida de suports Control d’entrada i sortida de suports

magnètics.magnètics. Seguretat física.Seguretat física.

Mesures organitzativesMesures organitzatives

Definició de:Definició de: Polítiques.Polítiques. Normes.Normes. Procediments.Procediments. Llocs de treball.Llocs de treball.

Normativa de seguretat.Normativa de seguretat. Política de còpies de seguretat.Política de còpies de seguretat. Política de contrasenyes.Política de contrasenyes. Difusió del Document de Seguretat.Difusió del Document de Seguretat.

SancionsSancions

Lleus : multes de 601,01 a 60.101,21 €.Lleus : multes de 601,01 a 60.101,21 €. No rectificar d’ofici o a requeriment de qui No rectificar d’ofici o a requeriment de qui

estigui habilitat a la rectificació, les dades estigui habilitat a la rectificació, les dades incorrectes.(RAI, ASNEF o accés de clients a la incorrectes.(RAI, ASNEF o accés de clients a la rectificació de dadesrectificació de dades

No acomplir les instruccions dictades pel No acomplir les instruccions dictades pel director de la A.P.D.director de la A.P.D.

Qualsevol altre que afecti a qüestions formals Qualsevol altre que afecti a qüestions formals o documentals i que no constitueixin infracció o documentals i que no constitueixin infracció greu o molt greu.greu o molt greu.

SancionsSancions

Greus, multes de 60.101,21 a 300.506,05 €.Greus, multes de 60.101,21 a 300.506,05 €. Recollir dades personals amb finalitat diferent a Recollir dades personals amb finalitat diferent a

l’objecte de l’empresal’objecte de l’empresa No informar a l’interessat de la recollida de No informar a l’interessat de la recollida de

dades o no facilitar la informació de l’article 5dades o no facilitar la informació de l’article 5 Posar impediments al dret d'accés, rectificació o Posar impediments al dret d'accés, rectificació o

cancel·lació de dadescancel·lació de dades Vulnerar l’obligatorietat de guardar secretesVulnerar l’obligatorietat de guardar secretes No mantenir els dispositius de seguretats No mantenir els dispositius de seguretats

establerts.establerts.

SancionsSancions

Molt Greus, multes de 300.506,05 a Molt Greus, multes de 300.506,05 a 601.012 €601.012 €

Recollir dades de forma fraudulentaRecollir dades de forma fraudulenta Cedir dades personals, fora dels casos en que Cedir dades personals, fora dels casos en que

estigui permèsestigui permès

ConclusionsConclusions

Es pot viure amb el Reglament i la Llei.Es pot viure amb el Reglament i la Llei. Val molts diners adequar-se i Val molts diners adequar-se i

mantenir-se.mantenir-se. Limita les accions a fer amb les dades Limita les accions a fer amb les dades

dels clients.dels clients. Obliga a modificar hàbits i a ser molt Obliga a modificar hàbits i a ser molt

acurat en la recollida el i el tractament acurat en la recollida el i el tractament de les dades.de les dades.

He après ...He après ...

Cal tenir molta paciència.Cal tenir molta paciència. És difícil vendre la seguretat, però no És difícil vendre la seguretat, però no

impossible.impossible. Cal mantenir relació amb moltes Cal mantenir relació amb moltes

seccions o departaments.seccions o departaments. S’han de dictar Normes que es S’han de dictar Normes que es

puguin dur a terme.puguin dur a terme.

Definició d’un pla estratègic Definició d’un pla estratègic d’implantaciód’implantació

Diagnòstic de seguretat i anàlisi de riscos

Auditoria interna permanent de control

Pla d’accions correctives

Grau d’adaptació al reglament

Plans de continuïtat del negoci

Auditoria Bianual

Auditoria LOPD externa

Webs d’interès Webs d’interès

http://www.agpd.es http://www.apdcat.nethttp://www.apdcat.net http://www.congreso.es/http://www.congreso.es/ http://www.elderecho.com/elderecho/http://www.elderecho.com/elderecho/

index.htmindex.htm http://www.senado.es/http://www.senado.es/ http://www.kriptopolis.com/docs/lopd.htmlhttp://www.kriptopolis.com/docs/lopd.html http://www.portaley.com/http://www.portaley.com/ http://www.meetel.com/protecciondatos.htmhttp://www.meetel.com/protecciondatos.htm http://webopedia.internet.com/http://webopedia.internet.com/

Cal tenir present...

Mercès per la seva atencióMercès per la seva atenció

Joan BarcelóJoan Barcelójoan.barcelo@cmail.catjoan.barcelo@cmail.cat