Política de privacitat
Àmbit de l’aplicació del document i especificació dels recursos protegits
Aquest document ha estat elaborat sota la responsabilitat de Alexandra Redondo Ibáñez, com a responsable del tractament i, es compromet a implantar i actualitzar aquesta Normativa de seguretat d’obligat compliment per a tot el personal amb accés a les dades protegides o als sistemes d’informació que permetin l’accés als mateixos.
Totes les persones que tinguin accés a les dades del tractament al Centre, bé mitjançant el sistema informàtic habilitat per accedir al mateix, o bé mitjançant qualsevol altre mitjà automatitzat d’accés al tractament, es troben obligats per llei a complir allò establert en aquest document, i subjectes a les conseqüències que poguessin incórrer en cas d’incompliment.
Una còpia d’aquest document amb la part que li afecti serà subministrada, perquè en prengueu coneixement, a cada persona autoritzada a accedir a les dades del tractament, sent requisit obligatori per accedir a aquestes dades haver signat la recepció del mateix.
Recursos protegits
La protecció de les dades del tractament davant d’accessos no autoritzats s’haurà de realitzar mitjançant el control de totes les vies amb les quals es pugui tenir accés a la informació.
Centres de tractament i locals Els centres de tractament i locals és on es troben les dades o on s’emmagatzemen els suports que els continguin.
Els locals on se situen els ordinadors que contenen el tractament han de ser objecte d’especial protecció per garantir la disponibilitat i confidencialitat de les dades protegides.
Especialment en el cas que el tractament estigui situat en un servidor accedit a través d’una xarxa. Els locals hauran de tenir els mitjans mínims de seguretat que evitin els riscos d’indisposició de les dades que pugessin produir-se com a conseqüència d’incidències fortuïtes o intencionades. El Centre de Tractament de La Mirada Cooperativa SCCL només hauria de ser accessible als usuaris autoritzats. Els accessos als locals on es trobi el tractament haurà d’estar restringit exclusivament als administradors del sistema que hagin de realitzar tasques de manteniment per les quals siguin imprescindibles l’accés físic.
Llocs de treball, locals o remots
Són tots aquells dispositius des dels quals es pot accedir a les dades del tractament, com, per exemple, terminals o ordinadors personals. Es considera també llocs de treball aquells terminals d’administració del sistema, com, per exemple, les consoles d’operació, on en alguns casos també poden aparèixer les dades protegides del tractament. Cada lloc de treball estarà sota la responsabilitat d’una persona de les autoritzades, que garantirà que la informació que mostra no pugui ser vista per persones no autoritzades. Això implica que tant les pantalles com les impressores o un altre tipus de dispositius connectats al lloc de treball hauran d’estar físicament situats en llocs que garanteixin confidencialitat.
Quan el responsable d’un lloc de treball abandoni, bé temporalment o bé en finalitzar el seu torn de treball, haurà de deixar-ho en un estat que impedeixi la visualització de les dades protegides. Això podrà realitzar-se a través d’un protector de pantalla que impedeixi la visualització de les dades.
El reiniciï del treball implicarà la desactivació de la pantalla protectora amb la introducció de la contrasenya corresponent. En el cas de les impressores haurà d’assegurar-se que no queden documents impresos en la bandeja de sortida que continguin dades personals. Si les impressores són compartides amb altres usuaris no autoritzats per accedir a les dades del tractament, els responsables de cada lloc hauran de retirar els documents conforme vagin sortint impresos.
Queda expressament prohibida la connexió a xarxa o sistemes exteriors dels llocs de treball des dels quals es realitza l’accés al tractament. La revocació d’aquesta prohibició serà autoritzada pel responsable del tractament, queda constància d’aquesta modificació en el llibre d’incidències. Els llocs de treball des dels quals es té accés al tractament tindran una configuració fixa en les seves aplicacions, sistemes operatiusque només podrà canviar-se sota l’autorització del responsable de seguretat o l’administrador autoritzat.
Els recursos que, per servir de mitjà directe o indirecte per accedir al tractament, hauran de controlar-se per a aquesta normativa són:
1. Els llocs de treball on es tracten dades personals
2. L’arxiu dels llocs de treball i l’històric
3. L’armari de comunicacions
Tot el personal té accés a les claus del centre de tractament.
Control d’accés físic
En hores de tancament de l’activitat, es tanca amb clau el centre de tractament i amb persiana de seguretat.
Arxius actiu i històric
Es troben arxivats en armaris que s’han de tancar amb clau i amb accés restringit solament al personal autoritzat lloc que al seu torn estiguin en despatxos tancats amb clau.Impressió i destrucció de la documentació En el cas del servei d’impressió ha d’assegurar-se que no queden
desatesos, els documents impresos en la safata de sortida, sota el control de la persona que es troba en ella durant les hores d’obertura.Si les impressores són compartides amb altres usuaris, els responsables de cada lloc han de retirar els documents conforme vagin sortint impresos.
Els usuaris han de disposar d’un mecanisme per poder destruir de forma segura la documentació.
Trasllat de documentació
Quan sigui necessari el trasllat de la documentació, es realitza per part d’un usuari expressament autoritzat, amb sistema opac i amb tancament.
Procediments de notificació, gestió i resposta davant de qualsevol incidència
Una incidència és qualsevol succés que pot produir-se esporàdicament i que pot suposar un perill per la seguretat del tractament, entesa sota les tresbranques de confidencialitat, integritat i disponibilitat de les dades. La necessitat de mantenir un registre de les incidències que comprometen la seguretat d’un tractament és una eina imprescindible per la prevenció de possibles atacs en aquesta seguretat, així com per persecució dels responsables dels mateixos.
El responsable de seguretat del tractament habilita un llibre d’incidències a la disposició de tots els usuaris i administradors del tractament amb la finalitat de que es gravin en ell qualsevol incidència que pugui suposar un perill per la seguretat del mateix. Qualsevol usuari que tingui coneixement
d’una incidència és responsable del registre de la mateixa en el llibre d’incidències o si escau de la comunicació per escrit al responsable de seguretat o al responsable del tractament.
El coneixement i la no notificació o registre d’una incidència per part d’un usuari serà considerat com una falta contra la seguretat del tractament per part d’aquest usuari. La notificació o registre d’una incidència haurà de constar com a mínim de les següents dades: tipus d’incidència, data i hora en què es vaig produir, persona que realitza la notificació, persona a qui es comunica, efectes que pot produir, descripció detallada de la mateixa.
El centre de tractament gestiona les incidències mitjançant el correu electrònic de la Responsable de Seguretat: info@civicenergy.cat.