El responsable del sistema de datos personales debe:
Realizar e incluir el listado de encargados y usuarios con acceso autorizado.
Actualizar las listas de personas que pueden acceder al sistema de datos personales.
b) Control de acceso
Medidas, normas, procedimientos…
Nivel básico
Las listas de control de acceso deben contener:
La relación del personal.
Actividad o facultad por el que tienen acceso a los datos.
Deberá establecer el procedimiento para el uso de bitácoras de acceso respecto a las acciones cotidianas.
Solamente el Responsable del Sistema de Datos Personales podrá conceder, alterar o anular la autorización para el acceso a los Sistemas de Datos Personales.
b) Control de acceso
Medidas, normas, procedimientos…
Nivel básico
SubTitle: Sólo quienes estén expresamente autorizados en el documento de seguridad pueden entrar a las instalaciones donde se encuentren los Sistemas de Datos Personales, ya sea en soporte físico o electrónico.
c) Control de acceso físico
Medidas, normas, procedimientos…
Nivel medio
El acceso a los Sistemas de Datos Personales se limitará exclusivamente al personal autorizado, estableciendo además mecanismos que permitan identificar los accesos utilizados por múltiples personas autorizados.
Los mecanismos que permiten el registro de acceso estarán bajo el control directo del responsable de seguridad correspondiente, sin que permita la desactivación o manipulación de los mismos.
d) Registro de acceso
Medidas, normas, procedimientos…
Nivel alto
El responsable de seguridad del sistema debe conservar una relación de servidores públicos con al menos lo siguiente:
La identificación del usuario y del Sistema de Datos Personales
La fecha y la hora en que se utilizó el sistema.
El tipo de acceso.
La verificación si esté fue autorizado o denegado.
El periodo de conservación de los datos previstos en el registro de acceso será al menos de 2 años.
d) Registro de acceso
Medidas, normas, procedimientos…
Nivel alto
La transmisión de datos personales a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea intangible ni manipulada por terceros.
e) Telecomunicaciones
Medidas, normas, procedimientos…
Nivel alto
VIII. PROCEDIMIENTOS DE NOTIFICACIÓN, GESTIÓN Y RESPUESTA ANTE INCIDENCIAS
Una incidencia puede ser:
Cualquier incumplimiento de las normas desarrolladas en el Documento de Seguridad
Cualquier anomalía que afecte o pueda afectar a la seguridad de los datos de carácter personal en el Sistema.
Puede ser una causa de fuerza mayor.
Las incidencias deben ser documentadas para delimitar responsabilidades, estableciendo procedimientos que cuenten con un registro.
Other Placeholder: Registro de incidencias
El formato de registro de incidencias debe contener:
Tipo de incidencia.
El momento en que se produjo.
Nombre y cargo de quien notifica la incidencia
Nombre y cargo de la persona a la que se le comunica
Las acciones que se implementan a consecuencia de la incidencia
Nivel básico
Los elementos a incluir dependerán del nivel de seguridad aplicable de acuerdo a lo establecido en el artículo 14 de la LPDPDF y el Numeral 16 de los Lineamientos.
IX. Procedimientos para la realización de copias de respaldo y recuperación de los datos, para los sistemas de datos personales automatizados.
Title: Nivel básico
Other Placeholder: a) Gestión de soportes
Los soportes físicos y electrónicos almacenados deben estar:
Etiquetados para permitir identificar el tipo de información que contienen
Inventariados
Sólo el personal autorizado podrá acceder a ellos.
Para que puedan salir de las instalaciones u oficinas, el responsable debe autorizarlo.
Para su traslado deben adoptarse medidas que eviten la sustracción, pérdida o acceso indebido a la información.
Para desechar cualquier soporte que contenga datos de carácter personal deberá destruirse o borrarse, adoptando medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior.
Nivel básico
IX. Procedimientos para la realización de copias de respaldo y recuperación de los datos, para los sistemas de datos personales automatizados.
El responsable debe:
Establecer el procedimiento para realizar las de copias de respaldo
Establecer las fechas y periodicidad en que se realizarán.
En caso de que los datos personales se encuentren en soporte físico, se procurará que el respaldo se efectúe mediante la digitalización de los documentos.
Para soportes electrónicos establecer procedimientos para recuperar los datos
Verificar, al menos, cada seis meses la correcta definición, funcionamiento y aplicación de los procedimientos de realización de copias, así como los de recuperación.
Nivel básico
Other Placeholder: b) Copias de respaldo y recuperación
IX. Procedimientos para la realización de copias de respaldo y recuperación de los datos, para los sistemas de datos personales automatizados.
SubTitle:
Se realizan para verificar la correcta aplicación y funcionamiento de los procedimientos para obtener copias de respaldo y de recuperación de los datos.
Los sistemas informáticos que traten Sistemas de Datos Personales, no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tipo de datos tratados.
Para realizar pruebas con datos reales primero debe elaborarse una copia de respaldo.
Nivel medio
c) Pruebas con datos reales
IX. Procedimientos para la realización de copias de respaldo y recuperación de los datos, para los sistemas de datos personales automatizados.
La utilización de cualquier otro mecanismo que garantice que la información personal no sea inteligible ni manipulada durante su traslado o transmisión.
La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos, o bien,
Nivel alto
d) Distribución de soportes
IX. Procedimientos para la realización de copias de respaldo y recuperación de los datos, para los sistemas de datos personales automatizados.
Title: Nivel medio
X. Procedimientos para la realización de auditorías, en su caso.
SubTitle: Numeral 16, fracción II, inciso b), de los Lineamientos
Es el proceso de revisión que se lleva a cabo con el fin de emitir una opinión acerca del cumplimiento de las disposiciones establecidas en la normatividad que regula, en este caso la materia de protección de datos personales.
Las medidas de seguridad implementadas para la protección de los sistemas de datos personales se someterán, al menos cada dos años a una auditoría la cual puede ser:
Interna o
Externa
X. Auditoría
Nivel medio
SubTitle: La finalidad de la auditoría es:
Verificar el cumplimiento de las disposiciones establecidas en el documento de seguridad para proteger los datos contenidos en el sistema.
Identificar las deficiencias.
Proponer las medidas preventivas, correctivas o complementarias necesarias.
Revisar que el Documento de Seguridad haya sido elaborado conforme a lo establecido en la Ley y los Lineamientos.
X. Auditoría
Nivel medio
SubTitle: El responsable del sistema debe:
Comunicar al Instituto el resultado de la auditoría, dentro de los 20 días hábiles siguientes a su emisión.
Informar de la adopción de las medidas correctivas derivadas de la auditoría.
X. Auditoría
Nivel medio
 Página anterior | Volver al principio del trabajo | Página siguiente  |