INFORME DE MEDIDAS DE SEGURIDAD PARA LA PROTECCIÓN DE DATOS PERSONALES

A. OBJETO DEL DOCUMENTO

El objeto del presente documento responde a la obligación que todo responsable de tratamiento de datos personales tiene respecto al principio de integridad y confidencialidad regulado en Reglamento Europeo 2016/679, que obliga a aplicar las medidas de seguridad técnicas y organizativas apropiadas, de manera que los datos personales sean tratados de manera que se garantice una seguridad adecuada que impida el los tratamientos no autorizados o ilícitos, así como su pérdida, destrucción o daño accidental. Teniendo en cuenta el análisis de riesgos que se ha efectuado, en que se ha valorado la naturaleza, el alcance, el contexto y los fines del tratamiento, y los medios técnicos disponibles, en el presente documento se describen las medidas de seguridad técnicas y organizativas necesarias para garantizar un nivel adecuado al riesgo y que garanticen:

• La confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios del tratamiento. • La capacidad de restaurar la posibilidad de acceso a los datos personales de forma rápida en supuestos de accidentes físicos o técnicos. • Un proceso de verificación, evaluación y valoración periódico de las medidas de seguridad técnicas y organizativas adoptadas. Asimismo, teniendo en cuenta la continua evolución de los sistemas de información y de la propia organización, el documento intentará ser en su conjunto un marco estable, pero a su vez adaptable a las nuevas necesidades tanto técnicas como organizativas que se vayan sucediendo, de manera que, se pretende dar a este documento la versatilidad necesaria para adaptarse a cada escenario. En este sentido, el presente documento se compone de dos partes, una donde se describen las medidas técnicas y organizativas que se deben adoptar, y otra donde se incluyen unos Anexos que contienen la política de seguridad establecida por la organización.

El documento de seguridad se actualizará y revisará cuando se produzcan cambios relevantes en el sistema de información u organizativos en la empresa. Asimismo, el presente documento se adaptará en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal. D&N PUBLICATIONS AND INVESTMENTS S.L. 05/02/2019

B. ÁMBITO DE APLICACIÓN DE LAS MEDIDAS
El presente documento será de aplicación a todas las actividades de la entidad que impliquen el tratamiento de datos personales, por los que en el documento de incluirán los sistemas de información, soportes y equipos empleados para el tratamiento de datos de carácter personal, que deban ser protegidos, de acuerdo con lo dispuesto en normativa vigente. Todas las medidas de seguridad adoptadas van encaminadas a proteger todos los tratamientos de datos realizados por la entidad, ya sean gestionados por el responsable del tratamiento o por terceros expresamente autorizados, como por ejemplo, aquellos que hayan suscrito un contrato de prestación de servicios (Encargados de Tratamiento). En concreto, en el presente manual se describen todas las medidas, normas, procedimientos, reglas y estándares aplicados encaminados a garantizar la seguridad de los datos personales. En concreto se analizan los siguientes puntos:

a. Seguridad física Instalaciones b. Sistemas informáticos de tratamiento de los datos c. Mecanismos de Identificación y autenticación de acceso a los sistemas informáticos (Usuario y Contraseña) d. Control de acceso e. Copias de respaldo y recuperación f. Gestión de soportes y dispositivos informáticos g. Acceso a datos a través de redes de telecomunicaciones h. Ficheros temporales o copias de trabajo de documentos i. Accesos remotos a los sistemas informáticos j. Sistema de protección perimetral k. Tratamientos de datos no automatizados l. Registro de incidencias m. Designación de responsables C. REGISTRO DE ACTIVIDADES (FICHEROS)
Trabajadores
Gestión
D&N PUBLICATIONS AND INVESTMENTS S.L. 05/02/2019

D. SEGURIDAD FÍSICA DE LAS INSTALACIONES La seguridad física de los locales y puestos de trabajo dónde se encuentran instalados los equipos informáticos y sistemas de almacenamiento de la documentación en soporte papel que contienen datos personales, son objeto de protección para garantizar la inaccesibilidad y confidencialidad de los datos protegidos y, en consecuencia, en este apartado, se recogen las medidas de seguridad que se aplican a los centros de trabajo donde se tratan los datos personales, a efectos de evitar accesos por personas no autorizadas.

Tienen la consideración de puestos de trabajo todos aquellos con dispositivos desde donde se puede tener acceso a los Ficheros que contienen datos personales. Se adoptarán las medidas oportunas que garanticen que la información disponible sobre datos personales desde cada uno de ellos es inaccesible, y, por lo tanto, no puede ser vista por personas no autorizadas. Acceso restringido a terceros (recepción / dependencias individuales). Instalaciones con cierre con llave o similar. Sistemas antincendios (Extintores).

E. SISTEMAS INFORMÁTICOS DE TRATAMIENTO DE LOS DATOS
En este apartado se describen los sistemas informáticos utilizados para realizar los tratamientos de datos, tanto desde el punto de vista de los equipos, como de los sistemas de custodia y seguridad de los mismos, así como el tipo de red de conexión entre los dispositivos y periféricos utilizados por la entidad.

1.Descripción de los sistemas (Datos / Aplicaciones / Correo electrónico / Web) Servidor dedicado,Ordenadores personales / Portátiles,Servidores Correo Electrónico,Servidores Web
2.Ubicación de los equipos informáticos
a. Servidor dedicado (Datos y aplicaciones): Centros de trabajo,
b. Servidor no dedicado
c. Ordenadores personales / Portátiles: Centros de trabajo,Otras ubicaciones (Portátiles)
D&N PUBLICATIONS AND INVESTMENTS S.L. 05/02/2019

d. Servidor de Correo Electrónico Data Center Externo
e. Servidor de Página web Data Center Externo
3.Sistemas de seguridad física de los equipos informáticos Ubicación no accesible por terceros no autorizados o ajenos a la actividad,Centro de trabajo cerrado con llave,Armario cerrado con llave,
4.Tipos de red informática utilizadas Ordenadores / Portátiles sin conexión a red informática,Red Local,
5.Equipos informáticos utilizados para el tratamiento de datos Ordenadores sobremesa,Ordenadores portátiles,Smartphones,
6.Equipos periféricos utilizados Máquinas multifunciones (Impresora, fotocopiadora, escáner y fax), F. MECANISMOS DE IDENTIFICACIÓN Y AUTENTICACIÓN DE ACCESO A LOS SISTEMAS INFORMÁTICOS (USUARIO Y CONTRASEÑA) Todos los sistemas informáticos donde se realicen tratamiento de datos personales ya sean programas o aplicaciones creadas a medida, programas y paquetes estándar disponibles en el mercado informático, acceso a los puestos de trabajo, conexión a las redes locales o generales de la organización deben disponer de normas relativas a la identificación y autenticación para acceder a los datos personales.

Las medidas de seguridad mínimas que se adoptarán a la hora de configurar los nombres de usuario y contraseñas, a efectos de evitar accesos no autorizados, serán:
• Los accesos a los sistemas informáticos deberán tener su entrada restringida mediante un código de usuario y una contraseña. • Los nombres de usuario y contraseñas deberán ser individuales por cada usuario autorizado e intransferibles. • Se establecerá una política de asignación, cambio de contraseñas, distribución, almacenamiento y seguridad en general de los sistemas de acceso a los Ficheros.

D&N PUBLICATIONS AND INVESTMENTS S.L. 05/02/2019

A continuación, se describe la política de gestión y configuración de las contraseñas de acceso a los ficheros de tratamiento de datos personales:
1.Política de nombres de usuario y contraseñas Usuario y contraseña de acceso al ordenador, 2.Complejidad de las contraseñas
a. Mínimo de caracteres de las contraseñas. 6 b. Formato de las contraseñas. Números y letras,
3.Periodicidad de cambio de las contraseñas Anual
4.Procedimientos de asignación y distribución de contraseñas (Altas, modificaciones y bajas) Asignación por parte del usuario.
5.Procedimiento de configuración de las contraseñas Por parte del usuario
6.Custodia de las contraseñas No se custodian las contraseñas 7.Control de introducción de contraseñas erróneas No se tiene configurado ningún bloqueo 8.Responsable de las contraseñas Responsable del tratamiento D&N PUBLICATIONS AND INVESTMENTS S.L. 05/02/2019

G. CONTROL DE ACCESO
El Responsable del tratamiento deberá establecer mecanismos para evitar que un usuario pueda acceder a datos o recursos con derechos distintos de los autorizados y ajenos al desarrollo de sus funciones, aplicando como política de acceso la del mínimo privilegio, en el sentido de permitir exclusivamente el uso de los Ficheros que contienen datos de carácter personal a los trabajadores que lo requieran para el ejercicio de sus funciones y exclusivamente a los recursos que para los que estén autorizados.

El Responsable del tratamiento o, la persona en que delegue será el único con autoridad para realizar altas, bajas, modificaciones y revocaciones de identificadores de usuarios y contraseñas.

En el Anexo A del presente documento se incluye una relación de usuarios con acceso autorizado al sistema de información, con indicación del tipo de acceso autorizado para cada uno de ellos en función de las distintas actividades de acceso. En el supuesto de tratarse datos sensibles, salvo que el responsable del tratamiento no sea una persona física o garantice que únicamente él tiene acceso y trata los datos sensibles, se establecerá un registro de accesos que registre de cada intento la identificación del usuario, la fecha y hora en que se realizó, y el tipo de acceso y si ha sido autorizado o denegado. A continuación, se describen los mecanismos (permisos y roles) para delimitar y controlar los distintos accesos, por parte de los usuarios, a las actividades de tratamiento de datos realizados por la entidad.
1. Mecanismos del control de accesos
2. Procedimientos de alta, modificación y baja de las autorizaciones de acceso Directamente por parte del responsable del tratamiento
3.Persona autorizada para conceder, alterar o anular el acceso autorizado RESPONSABLE DE TRATAMIENTO
4.Registros de accesos a ficheros con datos sensibles *(Solo datos sensibles) D&N PUBLICATIONS AND INVESTMENTS S.L. 05/02/2019

H. COPIAS DE RESPALDO Y RECUPERACIÓN
La seguridad del tratamiento de datos personales implica proteger la integridad y la disponibilidad de los mismos, por los que se deben establecer los procedimientos necesarios para la realización de copias de seguridad y recuperación de datos, en caso de errores técnico o humanos.

A continuación, se describe la política de realización de las copias de seguridad, de manera que se garantice su realización con una periodicidad mínima, su correcta custodia, así como los procedimientos de recuperación de los datos cuando se precise.
1.Sistema de copias de seguridad Manual,
2.Frecuencia de realización de la copia Diaria,
3.Soporte de almacenamiento de la copia de seguridad Disco duro externo,
4.Número de soporte utilizados para las copias de seguridad 1
5.Custodia de las copias de seguridad Cajones con llave,
6.Etiquetado de los soportes de las copias de seguridad No se etiquetan al utilizar únicamente soportes para las copias de seguridad
7.Personal autorizado para realizar las copias, acceder a los soportes y recuperar datos Responsable del tratamiento,Ulf Lindblom
8.Procedimientos de autorizaciones en relación con las copias de seguridad Anexo. Autorizaciones del documento de seguridad D&N PUBLICATIONS AND INVESTMENTS S.L. 05/02/2019

I. GESTIÓN DE SOPORTES Y DISPOSITIVOS INFORMÁTICOS
Teniendo en cuenta que los soportes que permiten la grabación y recuperación de datos (Cintas, DVDs, CD ROM, PenDrives, discos duros), así como los dispositivos móviles (smartphones, tabletas, ordenadores portátiles) y son fácilmente transportables, reproducibles y/o copiables, se deben aplicar respecto a su uso las medidas de seguridad necesarias para protegerlos de accesos no autorizados.

En consecuencia, en este apartado se describe la política de gestión, control, identificación, distribución y custodia de soportes y dispositivos móviles, susceptibles de contener datos personales, y utilizados fuera de los centros de trabajo a efectos de proteger su contenido y que a su vez sirva de inventariado y control de los mismos.
1.Relación de soportes utilizados Ordenadores portátiles,Teléfonos móviles,Discos duros externos,
2.Finalidades de uso fuera de los centros de trabajo Trabajo fuera del centro de trabajo,
3.Número de soporte utilizados para las copias de seguridad Ordenadores portátiles: 2 Teléfonos móviles: 2 Tabletas: 0 Discos duros externos: 1 Pen Drives: 0 Otro: 0
4.Sistema de autorización de salida de los soportes Anexo. Autorizaciones del documento de seguridad
5.Sistema de control e inventario de los soportes y dispositivos
Ordenadores portátiles: Semanal
Teléfonos móviles: Diario
Discos duros externos:
D&N PUBLICATIONS AND INVESTMENTS S.L. 05/02/2019
6.Custodia Externa de soportes de copias de seguridad No se custodian externamente
7.Medidas de seguridad adoptadas para el traslado de copias de seguridad (*Solo para datos sensibles)
8.Custodia de las copias de seguridad externa y otros soportes
9.Etiquetado de los soportes de las copias de seguridad
10.Personal autorizado para salida de dispositivos y soportes

J. ACCESO A DATOS A TRAVÉS DE REDES DE TELECOMUNICACIONES
Las medidas de seguridad exigibles a los accesos a los datos de carácter personal a través de redes de comunicaciones, sean o no públicas, deben garantizar un nivel de seguridad equivalente al exigido para los accesos en modo local. Las transmisiones de datos de carácter personal catalogados como sensibles se realizarán cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros. En este apartado se describen las redes de comunicación entre los distintos centros de trabajo del Responsable del tratamiento.
1.Tipo de red corporativa utilizada
2.Ficheros accedidos
D&N PUBLICATIONS AND INVESTMENTS S.L. 05/02/2019

K. FICHEROS TEMPORALES O COPIAS DE TRABAJO DE DOCUMENTOS.
Todos los ficheros temporales que contengan datos personales que se generen por la actividad de la entidad, una vez han cumplido la finalidad por el que fueron creados deben ser eliminados o incorporados a la siguiente ejecución del proceso periódico o en los ficheros definitivos.

Los ficheros que cumplida su finalidad no sean eliminados deberán cumplir todas las exigencias legales y las medidas de seguridad establecidas para los Ficheros maestros.

L. ACCESOS REMOTOS A LOS SISTEMAS INFORMÁTICOS
Con relación al personal que disponga de accesos remotos o desarrolle sus funciones laborales mediante el sistema de teletrabajo mediante accesos remotos a los sistemas informáticos o en su caso, se le permita extraer documentación de los centros de trabajo para que realice tratamientos en un puesto de trabajo externo, se deberán adoptar las siguientes medidas a efectos de proteger la integridad e indisponibilidad de los ficheros:
• Se precisará autorización por escrito del Responsable del tratamiento.
• El usuario deberá adoptar idénticas medidas de seguridad, técnicas y organizativas que las aplicadas localmente en su centro de trabajo
• Respecto al tratamiento de documentación en soporte papel se le aplicará idénticas medidas de almacenamiento, archivo y custodia que en los locales centrales de tratamiento.
• Se incluirá un listado de usuarios con accesos remotos, régimen de teletrabajo y e-trabajo en el presente documento de seguridad.
• En ningún caso el usuario podrá acceder a datos a los que no tuviera en modo local.
• Todos los procedimientos de tratamiento remoto exigen la identificación y autenticación de los usuarios igual que accediendo en modo local.

A continuación, se describe la política de gestión, control y custodia de soportes y dispositivos móviles, susceptibles de contener datos personales, y utilizados fuera de los centros de trabajo:
1.Accesos remotos propios Webmail,
2.Ficheros accesibles remotamente
3.Sistemas de acceso e identificación
4.Accesos remotos de terceros (Proveedores / Colaboradores) D&N PUBLICATIONS AND INVESTMENTS S.L. 05/02/2019

5.Ficheros accesibles remotamente por terceros
6.Sistemas de acceso e identificación

M. SISTEMA DE PROTECCIÓN PERIMETRAL
Los sistemas y las tecnologías de la información como elementos fundamentales dentro de las empresas requieren de protección. Esta protección debe proteger los recursos internos contra ataques, intentos de acceso no autorizados y los problemas ocasionados por los propios usuarios.
1.Sistemas de protección utilizados Antivirus,Firewall,
N. TRATAMIENTOS DE DATOS NO AUTOMATIZADOS Los tratamientos de datos no automatizados requieren de medidas de seguridad específicas, tanto desde la óptica de su custodia, como de su organización y archivo, de manera que nos permita su protección, así como su localización y consulta de la información y posibilitar el ejercicio de los derechos de los ciudadanos.

En este apartado se describen los sistemas de tratamiento de los ficheros no automatizados, desde los siguientes puntos de vista:
• Aplicación de criterios de archivo los derechos de oposición al tratamiento, acceso, rectificación y cancelación.
• Dispositivos de almacenamiento y custodia: Los dispositivos de almacenamiento de los documentos que contengan datos de carácter personal deberán disponer de mecanismos que obstaculicen su apertura.
• Custodia de la documentación activa.
1.Criterios de archivo de la documentación en soporte papel a. Trabajadores Orden alfabético,Histórico de trabajadores (Bloqueo),
b. Currículums
Carpeta común de currículums,
D&N PUBLICATIONS AND INVESTMENTS S.L. 05/02/2019
c. Clientes Meses y año (facturas),Histórico,
d. Proveedores Meses y año (facturas),Histórico,
e. Pacientes
f. Alumnos
g. Contactos Agendas,Tarjeteros,Listados de contactos,
2. Dispositivos de almacenamiento y custodia de la documentación a. Trabajadores Armario o cajones con llave
b. Currículums Armario o cajones con llave
c. Clientes Armario o cajones con llave
d. Proveedores Armario o cajones con llave
e. Pacientes
f. Alumnos
g. Contactos Armario o cajones con llave D&N PUBLICATIONS AND INVESTMENTS S.L. 05/02/2019

3. Obligaciones y limitaciones de tratamiento del soporte papel
a. Destruir la documentación antes de depositarla en papeleras o cajas de reciclaje.
b. La documentación sensible pasarla por la destructora de papel.
c. Prohibición de reutilizar el papel que contenga datos personales.
d. Dejar las mesas sin documentación cuando abandonen sus puestos de trabajo.

O. INFORMACIÓN Y OBLIGACIONES DEL PERSONAL
Con el objetivo de que todas las personas conozcan las normas de seguridad que afectan al desarrollo de sus funciones, así como las consecuencias del incumplimiento de las mismas, serán informadas en función de su perfil al inicio de su relación laboral o mercantil con la organización, por medio de la entrega de un documento dónde se recogen cada una de las funciones y obligaciones en materia de seguridad. Asimismo, en caso de modificaciones sustanciales que requieran la adopción de nuevas medidas de seguridad, se establecerán mecanismos para poner en conocimiento de los usuarios las variaciones o nuevas medidas adoptadas.

P. RESPONSABLE DE PROTECCIÓN DE DATOS
Habida cuenta del tamaño de la entidad, el propio Responsable del tratamiento ejercerá como responsable de protección de datos y seguridad y, se encargará coordinar y controlar las medidas recogidas en el presente documento

Q. ENCARGADOS DE TRATAMIENTO
La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido. El contrato contendrá todas las exigencias legales y de seguridad que el encargado debe asumir para la prestación de los servicios contratados. Con el objetivo de verificar el efectivo cumplimiento de la normativa de protección de datos por parte del encargado de tratamiento, a parte de la firma del correspondiente contrato, se le exigirán otras garantías, tales como certificados de cumplimiento emitidos por los abogados o consultoras encargados de la gestión de la protección de datos o en su caso, la firma de una declaración responsable del Responsable del tratamiento conforme cumple con todas las obligaciones previstas legalmente. En el Anexo D del presente documento se describe la relación de proveedores que actúan en calidad de encargados de tratamiento. D&N PUBLICATIONS AND INVESTMENTS S.L. 05/02/2019

R. REGISTRO DE INCIDENCIAS
Una incidencia es cualquier situación que pueda producirse ocasionalmente y que pueda suponer un riesgo para la seguridad de los datos personales, desde la óptica de la confidencialidad, integridad y disponibilidad de los datos, así como cualquier incumplimiento de la normativa desarrollada en este Documento de Seguridad. El Responsable del tratamiento por medio del Anexo C del presente documento, ha habilitado un modelo de Registro de incidencias con el objetivo de que registren en él cualquier tipo de incidencia que suponga un riesgo para la seguridad. El modelo de incidencias consta como mínimo de los siguientes datos: tipo de incidencia, el momento en que se ha producido o en su caso detectado, la persona que realiza la notificación, a quién se comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas. En caso de gestión automatizada se indicará en este punto el sistema informático utilizado. Asimismo, se tiene presente el canal de notificación habilitado por la Agencia Española de Protección de datos por medio de su sede electrónica, para comunicar cualquier quiebra de seguridad que pueda poner en riesgo los derechos y libertades de los interesados de los que se traten sus datos personales:
https://sedeagpd.gob.es/sede-electronica-web/vistas/formQuiebraSeguridad/procedimientoQuiebraSeguridad.jsf
A continuación, se describen los procedimientos para registrar las posibles incidencias que puedan comprometer la seguridad de los Ficheros de tratamiento de los datos personales:
1.Procedimientos de notificación y gestión de las incidencias El usuario lo comunica al responsable del tratamiento
2.Canales de comunicación de las incidencias Correo electrónico,Presencial,
3.Sistemas de almacenamiento del registro de incidencias Formulario de incidencias en papel D&N PUBLICATIONS AND INVESTMENTS S.L. 05/02/2019 S. PROCEDIMIENTOS DE REVISIÓN El documento se mantendrá en todo momento actualizado y se revisará siempre que se produzcan cambios relevantes en el sistema de información, en el contenido de la información incluida en los ficheros o como consecuencia de los controles periódicos realizados. En todo caso se entenderá como cambio relevante cuando pueda repercutir en el cumplimiento de las medidas de seguridad implantadas. Asimismo, se deberá adecuar a las disposiciones vigentes en materia de seguridad de los datos de carácter personal. Asimismo, se programarán diversos procedimientos de revisión de todo el ciclo de vida de los datos personales, así como de las medidas de seguridad aplicadas para su protección. Estos controles de revisión se realizarán como mínimo anualmente y se generará un informe donde se describan las salvedades detectadas y las medidas correctoras a aplicar para solucionarles.