Medidas de seguridad de nivel básico

4675

Las medidas de seguridad que se han de adoptar en los ficheros que contengan datos de carácter personal están en función de la tipología de tales datos. Al operar de forma “acumulativa”, todos los ficheros o tratamientos de datos de carácter personal deberán adoptar las medidas de seguridad calificadas de nivel básico.

Medidas de seguridad según el Reglamento

Estas son las medidas a aplicar según los correspondientes artículos del Reglamento LOPD:

Artículo 89. Funciones y obligaciones del personal.

  1. Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de carácter personal y a los sistemas de información estarán claramente definidas y documentadas en el documento de seguridad.
    También se definirán las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento.
  2. El responsable del fichero o tratamiento adoptará las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento.

Artículo 90. Registro de incidencias.

Deberá existir un procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal y establecer un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas.

Artículo 91. Control de acceso.

  1. Los usuarios tendrán acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones.
  2. El responsable del fichero se encargará de que exista una relación actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos.
  3. El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados.
  4. Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los recursos, conforme a los criterios establecidos por el responsable del fichero.
  5. En caso de que exista personal ajeno al responsable del fichero que tenga acceso a los recursos deberá estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio.

Artículo 92. Gestión de soportes y documentos.

  1. Los soportes y documentos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y solo deberán ser accesibles por el personal autorizado para ello en el documento de seguridad.
    Se exceptúan estas obligaciones cuando las características físicas del soporte imposibiliten su cumplimiento, quedando constancia motivada de ello en el documento de seguridad.
  2. La salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos y/o anejos a un correo electrónico, fuera de los locales bajo el control del responsable del fichero o tratamiento deberá ser autorizada por el responsable del fichero o encontrarse debidamente autorizada en el documento de seguridad.
  3. En el traslado de la documentación se adoptarán las medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte.
  4. Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior.
  5. La identificación de los soportes que contengan datos de carácter personal que la organización considerase especialmente sensibles se podrá realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido, y que dificulten la identificación para el resto de personas.

Artículo 93. Identificación y autenticación.

  1. El responsable del fichero o tratamiento deberá adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios.
  2. El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.
  3. Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad.
  4. El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras estén vigentes, se almacenarán de forma ininteligible.

Artículo 94. Copias de respaldo y recuperación.

  1. Deberán establecerse procedimientos de actuación para la realización como mínimo semanal de copias de respaldo, salvo que en dicho período no se hubiera producido ninguna actualización de los datos.
  2. Asimismo, se establecerán procedimientos para la recuperación de los datos que garanticen en todo momento su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción.
    Únicamente, en el caso de que la pérdida o destrucción afectase a ficheros o tratamientos parcialmente automatizados, y siempre que la existencia de documentación permita alcanzar el objetivo al que se refiere el párrafo anterior, se deberá proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad.
  3. El responsable del fichero se encargará de verificar cada seis meses la correcta definición, funcionamiento y aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos.
  4. Las pruebas anteriores a la implantación o modificación de los sistemas de información que traten ficheros con datos de carácter personal no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realización en el documento de seguridad.
    Si está previsto realizar pruebas con datos reales, previamente deberá haberse realizado una copia de seguridad.
Medidas de seguridad de nivel básico
4.7 (93.33%) 6 votos

10 Comentarios

  1. Significa el punto 93.4 “(las contraseñas), mientras estén vigentes, se almacenarán de forma ininteligible” que se deben almacenar las contraseñas encriptadas?

    No obstante, ¿obliga este punto a que esta encriptacion sea “one-way”? Me refiero a si obliga a que se almacene un one way hash de la contraseña, con lo cual resulte imposible computar de vuelta la contraseña original (aun así permitiendo authenticacion, comparando el hash almacenado con el hash de la contraseña introducida por el usuario durante el login).

    • Alexandre: la ley no entra en detalles técnicos, se limita a estipular una condición (ininteligibles). Hay que tener en cuenta que las leyes se redactan con vocación de permanencia a largo plazo, mientras que los factores técnicos evolucionan a gran velocidad.

  2. Me parece muy interesante y práctico el artículo y muy interesante también la reflexión del compañero Jesús Pérez sobre la libertad por por parte de los técnicos para interpretar la ley.

  3. Gracias Jesús. Ese dato; ¿lo especifica la ley?
    Yo razono, Si mi sistema se actualiza con información constantemente ¿puedo guardar sólo las copias mensuales a mes vencido? No deja de ser la foto del momento en que se hacen. Todas las copias son estados de la información; nunca se elimina información; sólo se incrementa cada vez. Y, claro, cada vez tengo más cantidad de información….

  4. Belén: disculpa, seis meses sería el plazo máximo que se puede mantener una copia en caso de que no haya habido cambios, antes de un nuevo proceso de revisión del sistema.
    No es necesario guardar todas las copias, de hecho en el nivel bajo podría ser suficiente con sólo la última (aunque yo aconsejo dos o tres por motivos de seguridad). Pero eso sí, ha de ser la semanal, ya que este es el plazo mínimo del art. 94.1

Dejar respuesta