Resolución Rectoral de 19 de julio 2017 por la que se aprueba el Documento de Seguridad como normativa de desarrollo de la Política de Seguridad de la Información de la Universidad de Sevilla.

Núm. 5/2017, de 27 de septiembre

I. DISPOSICIONES Y ACUERDOS GENERALES

I.3. Rector

Resolución Rectoral de 19 de julio 2017 por la que se aprueba el Documento de Seguridad como

normativa de desarrollo de la Política de Seguridad de la Información de la Universidad de Sevilla.

Mediante Acuerdo del Consejo de Gobierno de 26 de febrero de 2014, se aprobó la Política de Seguridad

de la Información de la Universidad de Sevilla, que dispone, en su artículo 9, que citada Política “será

revisada anualmente por la Comisión de Seguridad de la Información y será aprobada por Resolución

Rectoral”.

La Comisión de Seguridad de la Información en sesión de 17 de julio de 2017 acordó proponer al

Rector de la Universidad de Sevilla la aprobación del Documento de Seguridad, para su aprobación

por Resolución Rectoral.

Por Resolución Rectoral de 17 de julio de 2017 se aprobó el Texto integrado del Documento de

Seguridad de la Universidad de Sevilla conforme a la propuesta por la Comisión de Seguridad de la

Información.

El Artículo 5.1 de la Política de Seguridad de la Información dispone que entre las funciones y

responsabilidades propias de la Comisión de Seguridad de la Información se encuentra proponer al

Rector la aprobación de las normativas y reglamentos de seguridad relacionados con la aplicación del

Esquema Nacional de Seguridad.

En la citada sesión de 17 de julio de 2017 la Comisión de Seguridad de la Información acordó proponer

al Rector la aprobación de la normativa que describe el Documento de Seguridad en relación a la

protección de datos de carácter personal en la Universidad de Sevilla, cuyo texto se incorpora al acta

de la sesión.

En su virtud, mediante la presente Resolución acuerdo:

. Aprobar la siguiente Normativa de la Universidad de Sevilla, que se incluye como Anexo a la misma:

Documento de Seguridad de la Universidad de Sevilla.

. La citada normativa entrará en vigor desde el día de la fecha, no obstante será publicada en el

Boletín Oﬁcial de la Universidad de Sevilla.

EL RECTOR,

Miguel Ángel Castro Arroyo.

ANEXO

NORMATIVAS DE SEGURIDAD

DOCUMENTO DE SEGURIDAD DE LA UNIVERSIDAD DE SEVILLA

Índice

Introducción

Vigencia

Capítulo I. Ámbito de aplicación del documento

Capítulo II. Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar los

niveles de seguridad exigidos en este documento

009

Núm. 5/2017, de 27 de septiembre

I. DISPOSICIONES Y ACUERDOS GENERALES I.3. Rector

II.1. Medidas y normas relativas a la identiﬁcación y autenticación del personal autorizado a

acceder a los datos personales

II.2. Medidas y normas relativas al Control de acceso

II.3. Medidas y normas relativas a la Gestión del acceso de usuarios

II.4. Medidas y normas de Control de acceso físico

II.5. Medidas y normas para el Registro de accesos

II.6. Medidas y normas para la Gestión de soportes

II.7. Distribución cifrada de soportes

II.8. Medidas y normas relativas a los Ficheros temporales

II.9. Medidas y normas relativas a las Copias de seguridad

II.10. Medidas y normas para la realización de Pruebas con datos reales

II.11. Acceso y transmisión de datos a través de redes de comunicaciones

Capítulo III. Procedimiento general de información al personal

Capítulo IV. Funciones y obligaciones del personal

IV.1. Funciones y obligaciones de carácter general

IV.2. Funciones y obligaciones de los Responsables de ﬁcheros automatizados

IV.3. Funciones y obligaciones de los Responsables de Seguridad

IV.4. Funciones y Obligaciones de los Responsables Propietarios de Ficheros

IV.5. Funciones y Obligaciones para los Responsables Propietarios de los ﬁcheros de datos

personales mixtos (automatizados y en papel)

IV.6. Administradores y Personal Informático

IV.7. Puestos de trabajo

Capítulo V. Procedimiento de notiﬁcación, gestión y respuesta ante incidencias

Capítulo VI. Procedimiento de revisión

Capítulo VII. Consecuencias del incumplimiento del documento de seguridad

Apéndice: Lenguaje de género

ANEXO I: NOMBRAMIENTOS

ANEXO II: FORMATOS DE DOCUMENTOS

INTRODUCCIÓN

El presente Documento y sus Anexos, redactados en cumplimiento de lo dispuesto en el Reglamento

de Medidas de Seguridad (Real Decreto 1720/2007 de 13 de Diciembre), recogen las medidas de

índole técnica y organizativa necesarias para garantizar la protección, conﬁdencialidad, integridad y

disponibilidad de los recursos afectados por lo dispuesto en el citado Reglamento y en la Ley Orgánica

15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal.

Este Documento se mantendrá permanentemente actualizado. Cualquier modiﬁcación relevante

en los sistemas de información automatizados o no, en la organización de los mismos, o en las

disposiciones vigentes en materia de seguridad de los datos de carácter personal conllevará la revisión

de la normativa incluida y, si procede, su modiﬁcación total o parcial.

El contenido principal de este Documento queda estructurado como sigue:

I. Ámbito de aplicación del documento.

010

Núm. 5/2017, de 27 de septiembre

I. DISPOSICIONES Y ACUERDOS GENERALES I.3. Rector

II. Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar los niveles de

seguridad exigidos en este documento.

III. Procedimiento general de información al personal.

IV. Funciones y obligaciones del personal.

V. Procedimiento de notiﬁcación, gestión y respuestas ante las incidencias.

VI. Procedimientos de revisión.

VII. Consecuencias del incumplimiento del Documento de Seguridad.

A continuación se detallan los anexos a este Documento de Seguridad (DS) con sus correspondientes

contenidos:

Anexo I. Nombramientos.

Con el ﬁn de establecer la identiﬁcación de los Responsables Propietarios de los ﬁcheros y de los

Responsables de Seguridad se recoge en este Anexo.

Anexo II. Formatos de Documentos.

En este Anexo se presentan los formatos de documentos para llevar a cabo las actividades en materia

de seguridad que desarrolla el Reglamento.

VIGENCIA

El presente documento ha sido aprobado por la Comisión de Seguridad de la US con fecha 17 de julio

de 2017, estableciendo de esta forma las directrices generales para aplicar la regulación relativa a la

protección de datos personales en la Universidad de Sevilla.

Este documento entrará en vigor inmediatamente después de su publicación y difusión por parte de la

US. Las versiones anteriores quedan anuladas por la última versión de este documento.

CAPÍTULO I. ÁMBITO DE APLICACIÓN DEL DOCUMENTO

El presente documento será de aplicación a los ﬁcheros que contienen datos de carácter personal que

se hallan bajo la responsabilidad de la Universidad de Sevilla, incluyendo los sistemas de información,

soportes y equipos empleados para el tratamiento de datos de carácter personal, que deban ser

protegidos de acuerdo a lo dispuesto en la normativa vigente, las personas que intervienen en el

tratamiento y los locales en los que se ubican.

Las medidas de seguridad se clasiﬁcan en tres niveles acumulativos (básico, medio y alto) atendiendo

a la naturaleza de la información tratada, en relación con la menor o mayor necesidad de garantizar la

conﬁdencialidad y la integridad de la información.

Nivel básico: Se aplicarán a los ﬁcheros con datos de carácter personal.

Nivelmedio:Ficherosquecontengandatosrelativosalacomisióndeinfraccionesadministrativas

o penales, Hacienda Pública, (en estos dos casos, deberán ser de titularidad pública), servicios

ﬁnancieros y los que se rijan por el Art. 29 de la LOPD (prestación de servicios de solvencia y

crédito).

Nivel alto: Ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o

vida sexual o los recabados para ﬁnes policiales sin consentimiento (en este último caso, también

deberán ser de titularidad pública).

Todas las personas que tengan acceso a los datos de estos ﬁcheros, bien a través del sistema informático

habilitado para acceder al mismo, o bien a través de cualquier otro medio de acceso, se encuentran

011

Núm. 5/2017, de 27 de septiembre

I. DISPOSICIONES Y ACUERDOS GENERALES I.3. Rector

obligadas por ley a cumplir lo establecido en este documento, y sujetas a las consecuencias que

pudieran incurrir en caso de incumplimiento.

Una copia de este documento con la parte que le afecte será entregada, para su conocimiento, a cada

persona autorizada a acceder a los datos del Fichero, siendo requisito obligatorio para poder acceder

a esos datos el haber ﬁrmado la recepción del mismo.

Recursos protegidos.

La protección de los datos de los anteriores ﬁcheros frente a accesos no autorizados se deberá realizar

mediante el control de todas las vías por las que se pueda tener acceso a dicha información. Los

recursos que, por servir de medio directo o indirecto para acceder al Fichero, deberán ser controlados

por esta normativa son:

Los centros de tratamiento y locales donde se encuentren ubicados los ﬁcheros o se almacenen

los soportes que los contengan.

Los puestos de trabajo, bien locales o remotos, desde los que se pueda tener acceso al Fichero.

Los servidores, si los hubiese, y el entorno de sistema operativo y de comunicaciones en el que

se encuentra ubicado el Fichero.

Los sistemas informáticos, o aplicaciones establecidos para acceder a los datos.

Los recursos hardware y sof ware para el tratamiento de los ﬁcheros de datos de carácter personal

vienen recogidos en el “Anexo II. Formatos de Documentos” con el número 02-010-00 para el

inventario de hardware y con el número 02-020-00 para el inventario de sof ware

Todos estos recursos se encuentran asignados a los servicios, departamentos y secciones que ﬁguran

en el Anexo I.

CAPÍTULO II. MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS

Y ESTÁNDARES ENCAMINADOS A GARANTIZAR LOS NIVELES

DE SEGURIDAD EXIGIDOS EN ESTE DOCUMENTO

II.1. Medidas y normas relativas a la identiﬁcación y autenticación del personal autorizado a

acceder a los datos personales.

El responsable del ﬁchero según el Art. 11 del Reglamento se encargará de que exista una relación

actualizada de usuarios que tengan acceso autorizado al Sistema de Información y a la documentación

correspondiente en los ﬁcheros mixtos. Para ello, se ha delegado la función de crear y mantener

actualizada dicha relación en los Responsables Propietarios de nivel Tecnológico y de nivel Funcional,

en sus respectivas atribuciones.

El procedimiento de identiﬁcación y autenticación garantizará la conﬁdencialidad e integridad de

las contraseñas en la forma de asignación, distribución y almacenamiento de las mismas. Todo ello

de acuerdo con el Art. 93.4 del Reglamento 1720/2007 que indica que “el documento de seguridad

establecerá la periodicidad, que en ningún caso será superior a un año, con lo que tienen que ser cambiadas

las contraseñas que, mientras estén vigentes se almacenarán de forma ininteligible” y el Art. 93.3 del

Reglamento que indica que “Existirá un procedimiento de asignación, distribución y almacenamiento

que garantice su conﬁdencialidad e integridad”.

El usuario de los ﬁcheros de datos personales debe tener en cuenta lo siguiente:

El usuario deberá modiﬁcar las claves que le entregue el administrador de manera inmediata a

su recepción.

012

Núm. 5/2017, de 27 de septiembre

I. DISPOSICIONES Y ACUERDOS GENERALES I.3. Rector

Los usuarios no pueden compartir sus claves bajo ningún concepto con otras personas, aunque

sean de su mismo entorno.

Guardar la información de claves en un lugar seguro pero accesible.

Los usuarios deberán cambiar sus contraseñas al menos una vez cada año.

Respecto a asignación de contraseñas, éstas deberán ser conformes a la Política de Contraseñas de la

Universidad de Sevilla.

Los administradores de los sistemas deberán tener en cuenta los siguientes puntos:

Cambiar periódicamente la contraseña, sobre todo si hay cambios (bajas, traslados) entre el

grupo de personas que la conocen.

Elcódigodeusuarioylacontraseñasecomunicaránalusuarioporvíasseguras, ypreferentemente

por vías diferentes o no al mismo tiempo. Los envíos no tendrán indicación externa de su

contenido ni podrán leerse al trasluz, ni abrir los sobres sin detectarse”. Cuando se envíen a

través de redes inseguras deberían comunicarse mediante protocolos seguros.

En los ﬁcheros de datos personales la identiﬁcación de los usuarios se deberá realizar de forma

inequívoca, unívoca y personalizada, veriﬁcando su autorización. Asimismo, en los ﬁcheros de nivel

medio y alto de se limitará la posibilidad de intentar reiteradamente el acceso no autorizado al sistema

información.

II.2. Medidas y normas relativas al Control de acceso.

El personal sólo accederá a aquellos datos y recursos que precise para el desarrollo de sus funciones.

La exigencia que se materializa en la inclusión del documento formato 03-060-020 que se incluye en

el Anexo II de acuerdo con el Art. 91 Control de acceso que indica que:

Los usuarios tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen

para el desarrollo de sus funciones.

El responsable del ﬁchero se encargará de que exista una relación actualizada de usuarios y

perﬁles de usuarios, y los accesos autorizados para cada uno de ellos.

El responsable del ﬁchero establecerá mecanismos para evitar que un usuario pueda acceder a

datos o recursos con derechos distintos de los autorizados.

Los estándares del control de acceso para los sistemas de información deben establecerse intentando

satisfacer la necesidad de balancear las restricciones para prevenir accesos no autorizados frente a

la necesidad de proporcionar acceso sin obstáculos en los procesos habituales de la Universidad de

Sevilla.

Se tendrán en cuenta en el control de accesos lo siguiente:

El nivel de sensibilidad de los datos que se procesan y su nivel de control de acceso.

La diseminación y circulación de la información almacenada por los sistemas.

La consistencia de los perﬁles de usuario a través de las aplicaciones y los sistemas operativos

subyacentes

Los requerimientos para el cumplimiento de controles legales y de reglamentos.

En el documento 03-060-30 del Anexo II, se incluye el documento formato para la relación de

personal que administra los accesos a los sistemas de información, incluyendo el tipo de acceso que

se autoriza para cada uno de los usuarios. Este documento se actualizará cuando existan altas, bajas o

modiﬁcaciones en los usuarios de cada uno de los sistemas.

Exclusivamente las personas que ﬁguran en este documento están autorizadas para conceder, alterar

o anular el acceso autorizado sobre los datos y los recursos. El procedimiento para solicitar el alta,

013

Núm. 5/2017, de 27 de septiembre

I. DISPOSICIONES Y ACUERDOS GENERALES I.3. Rector

modiﬁcación y baja de las autorizaciones de acceso a los datos se hará mediante un documento en

formato papel o electrónico ﬁrmado por dicho personal administrador de accesos dirigido a la persona

administradora del sistema. Todo ello de acuerdo con el Art. 91.4 que dice:

“

Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar

o anular el acceso autorizado sobre los datos y recursos, conforme a los criterios establecidos por el

responsable del ﬁchero.”

II.3. Medidas y normas relativas a la Gestión del acceso de usuarios.

Las aplicaciones que acceden a los ﬁcheros de datos personales deberán solamente presentar detalles

del sistema una vez que el usuario se haya conectado con éxito.

Donde sea posible los login con éxito deberían proporcionar la siguiente información para veriﬁcación

por el usuario:

Fecha y hora del login anterior.

Detalles de los intentos fallidos.

Mostrar mensajes de advertencia de accesos no autorizados antes del login con éxito.

Los procedimientos de gestión de acceso deberán incluir lo siguiente:

Mecanismos del control de cambios para el usuario que cambie de puesto o deje la institución.

Mecanismos para evitar las cuentas redundantes y eliminarlas si procede.

Procesos de autorización formales para asignar una cuenta a cada usuario.

Mecanismos de control de cambios para autorización rápida de cambio de derechos.

Gestión de privilegios para asegurar que un usuario está en el rango que le corresponde.

Identiﬁcar la categoría de los usuarios que deberían tener acceso a cuentas privilegiadas.

Ciertasfunciones, comolareestructuracióndebasesdedatos, nodebenestarasignadasalosoperadores

de manera continua. Estas funciones deben ser revocadas cuando se terminen los trabajos asociados.

Se deben otorgar privilegios a las aplicaciones de red y de sof ware según lo necesiten. El nombre de

cuenta no debe mostrar sus privilegios asociados.

II.4. Medidas y normas de Control de acceso físico.

Exclusivamente el personal (nombres o puestos de trabajos) que se indica en el documento 03- 060-

40 que se incluye en el Anexo II, podrá tener acceso físico a los locales donde se encuentren ubicados

los sistemas de información con datos de carácter personal. Todo ello de acuerdo con el Art. 99 del

Reglamento para ﬁcheros de datos personales de nivel medio y alto.

El acceso por el personal de mantenimiento, limpieza y seguridad se hará siempre que se haya ﬁrmado

las correspondientes cláusulas de prohibición de acceso a los datos. La entrada en los locales siempre

se hará con la correspondiente identiﬁcación de estas personas para las tareas que se le han asignado.

Otro punto importante es el control de entradas/salidas: quienes estén autorizados a entrar no deberían

poder sacar sin autorización equipos o información y habrá que controlar las entradas/salidas de las

personas que porten ordenadores portátiles o dispositivos de almacenamiento y veriﬁcar el contenido

de dichos dispositivos, pues podría ser una forma de fuga no autorizada de información si el usuario

ha tenido ocasión de obtener copias.

II.5. Medidas y normas para el Registro de accesos.

En los accesos a los datos de los ﬁcheros de datos personales de nivel alto, se registrará por cada acceso

la identiﬁcación del usuario, la fecha y hora en que se realizó, el ﬁchero accedido, el tipo de acceso y si

014

Núm. 5/2017, de 27 de septiembre

I. DISPOSICIONES Y ACUERDOS GENERALES I.3. Rector

ha sido autorizado o denegado. Si el acceso fue autorizado, se almacenará también la información que

permita identiﬁcar el registro accedido.

Los datos del registro de accesos se conservaran durante al menos dos años, de acuerdo al Art. 103.4

del Reglamento.

El responsable de seguridad revisará periódicamente la información de control registrada y elaborará

un informe mensual sobre dichos registros.

II.6. Medidas y normas para la Gestión de soportes.

Los soportes que contengan datos de carácter personal deben ser etiquetados para permitir su

identiﬁcación, con el ﬁn de ser inventariados y almacenados en un lugar de acceso restringido al que

solo tendrán acceso las personas con autorización que se relacionan en el documento 03- 070-20.

Los soportes informáticos se almacenarán de acuerdo a las normas contempladas en el documento

03-070-00.

Los soportes se almacenarán en un local con llave estando el acceso al mismo limitado al responsable

propietario del ﬁchero, y a las personas que expresamente éste autorice.

Los soportes no podrán salir de los locales en que están ubicados, salvo autorización del Responsable

Propietario o la persona que hubiera delegado de acuerdo al siguiente procedimiento:

Se recibirá una solicitud en formato papel o formato electrónico ﬁrmada por el Responsable Propietario

del Fichero, autorizando a la persona en cuestión para la entrada/salida de dicho soporte indicándose

en el registro de entrada y salida de soportes la correspondiente actividad.

El registro de entrada y salida de soportes se gestionará mediante un libro de Inventario de Soportes, que

podrá ser electrónico, donde se anotarán consecutivamente, para cada copia realizada, la información

que ﬁgura en la etiqueta de los soportes añadiendo, en su caso, la fecha y el motivo de la baja ya sea por

destrucción o reutilización y en el que deberán constar en el caso del registro de entrada de soportes

los campos siguientes:

Tipo de soporte.

Fecha y hora.

Emisor.

Número de soportes.

Tipo de información que contienen.

Forma de envío.

Persona responsable de la recepción que deberá estar debidamente autorizada.

Para el caso del sistema de registro de salida de soportes informáticos debe permitir conocer de forma

directa o indirecta la siguiente información:

Tipo de soporte.

Fecha y hora.

Destinatario.

Número de soportes.

Tipo de información que contienen.

Forma de envío.

La persona responsable de la entrega deberá estar debidamente autorizada.

015

Núm. 5/2017, de 27 de septiembre

I. DISPOSICIONES Y ACUERDOS GENERALES I.3. Rector

Los soportes correspondientes a los ﬁcheros de nivel alto, que vayan a ser desechados o reutilizados,

deberán ser previamente tratados, como se detalla a continuación, en función del tipo de soporte de

forma que no sea posible recuperar la información almacenada en ellos:

En caso de que sea un equipo que contenga uno o varios soportes: un servidor, un PC de

sobremesa e incluso un equipo portátil, se debe aplicar un borrado profundo, dándole formato

nuevo (la opción que físicamente lo borre, no que sólo elimine la entrada en el directorio),

o bien sobrescribiendo datos aleatorios en varias pasadas, para que el contenido anterior no

resulte accesible ni con mecanismos o dispositivos soﬁsticados.

Si los soportes no forman parte de un equipo o son extraíbles, se pueden desmagnetizar si se

trata de soportes magnéticos, o incinerar, triturar o destruir en cualquier caso.

Si son ópticos y no regrabables se pueden triturar en equipos adecuados, o destruir.

En todo caso, si se entregan a una entidad para mantenimiento y no ha sido posible borrarlos, o

bien se intenta la recuperación o es para su destrucción, y en especial si no existe un contrato, se

deben exigir cláusulas de conﬁdencialidad, y en el caso de destrucción, la conﬁrmación escrita.

Hasta que se proceda al tratamiento, borrado o destrucción, los soportes estarán protegidos

frente al acceso no autorizado.

Finalmente se podrá dar de baja en el inventario, anotando el método utilizado: incinerado,

entregado una empresa para destrucción, etc.

II.7. Distribución cifrada de soportes.

La distribución de soportes que contengan datos de carácter personal de los ﬁcheros de nivel alto, se

realizará teniendo en cuenta lo siguiente:

Emplear preferentemente cifrado con claves que de acuerdo con las tecnologías del momento

nos permitan mantener la más alta conﬁdencialidad posible.

Almacenar o eliminar la información de manera segura una vez que la información ha sido

cifrada, transmitida a su destino y descifrada.

Buscar consejo legal, cuando sea necesario, para conﬁrmar que las técnicas de cifrado elegidas

pueden usarse sin problemas legales, puesto que la legislación de algunos países no permite la

utilización de ciertos tipos de codiﬁcaciones ni su exportación a otros países.

II.8. Medidas y normas relativas a los Ficheros temporales.

Los ﬁcheros temporales deberán cumplir el nivel de seguridad que les corresponda con arreglo a los

criterios expresados en el Reglamento de medidas de seguridad, y serán borrados una vez que hayan

dejado de ser necesarios para los ﬁnes que motivaron su creación.

II.9. Medidas y normas relativas a las Copias de seguridad.

Es obligatorio realizar copias de respaldo de los ﬁcheros automatizados que contengan datos de

carácter personal. Los procedimientos establecidos para las copias de respaldo y para su recuperación

garantizarán su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida

o destrucción. En el documento 03-120-00 del Anexo II se detallan los procedimientos de copia y

recuperación de respaldo para cada ﬁchero.

Las recuperaciones de datos de los ﬁcheros de nivel alto deberán ser autorizadas por escrito por el

responsable propietario del ﬁchero.

En los ﬁcheros de nivel alto se conservará obligatoriamente una copia de respaldo en lugar distinto en

donde se encuentra el sistema y el ﬁchero de datos en producción.

016

Núm. 5/2017, de 27 de septiembre

I. DISPOSICIONES Y ACUERDOS GENERALES I.3. Rector

II.10. Medidas y normas para la realización de Pruebas con datos reales.

Las pruebas anteriores a la implantación o modiﬁcación de los sistemas de información que traten

ﬁcheros con datos de carácter personal, no se realizarán con datos reales, salvo que se asegure el nivel

de seguridad correspondiente al ﬁchero tratado. En el documento 03-140-00 del Anexo II se describe

el procedimiento para realización de pruebas.

II.11. Acceso y transmisión de datos a través de redes de comunicaciones.

Las medidas de seguridad exigibles a los accesos a los datos de carácter personal a través de redes de

comunicaciones deberán garantizar un nivel de seguridad equivalente al correspondiente a los accesos

en modo local.

La ejecución de tratamiento de datos de carácter personal fuera de los locales de la ubicación del

ﬁchero deberá ser autorizada expresamente por el Responsable Propietario del ﬁchero y, en todo caso,

deberá garantizarse el nivel de seguridad correspondiente al tipo de ﬁchero tratado.

Cualquier ejecución de tratamiento de datos de carácter personal fuera de los locales de la

ubicación del ﬁchero deberá ser autorizada expresamente por el responsable del ﬁchero.

Deberá garantizarse el nivel de seguridad correspondiente al ﬁchero tratado.

La seguridad abarcará tanto los extremos, ubicación del ﬁchero, como terminales o dispositivos

desde los que se accede o donde aparecen resultados visuales o impresos, así como en los

procesos de transmisión, para lo que se aplicarán otros apartados del Documento de Seguridad

que puedan ser aplicables.

En el caso de encargados de tratamiento existirán contratos que cumplan el Art. 12 de la LOPD

y se especiﬁcarán las medidas de seguridad a cumplir.

En otros casos que no entren en la categoría anterior, existirán también medidas de seguridad

adecuadas en cuanto accesos y autenticación, y salvaguardas en su caso, así como compromisos

de conﬁdencialidad, y también respecto a la devolución/destrucción de datos una vez ﬁnalizado

el trabajo o según las condiciones que se determinen y de no realización de copias no autorizadas,

o no modiﬁcación de datos sin autorización, según los casos.

La transmisión de datos de carácter personal de los ﬁcheros de nivel alto, se realizará teniendo en

cuenta lo siguiente:

Emplear cifrado a gran escala siempre que sea posible ya que la falta de capacidad de

procesamiento de los sistemas podría suponer una limitación.

Almacenar o eliminar la información de manera segura una vez que la información ha sido

cifrada, transmitida a su destino y descifrada.

Buscar consejo legal, cuando sea necesario, para conﬁrmar que las técnicas de cifrado elegidas

pueden usarse sin problemas legales, puesto que la legislación de algunos países no permite la

utilización de ciertos tipos de codiﬁcaciones ni su exportación a otros países.

CAPÍTULO III. PROCEDIMIENTO GENERAL DE INFORMACIÓN AL PERSONAL

Una copia de este documento con la parte que le afecte será entregada, para su conocimiento, a cada

persona autorizada a acceder a los datos del Fichero, siendo requisito obligatorio para poder acceder

a esos datos el haber ﬁrmado la recepción del mismo.

El personal afectado además del Responsable Propietario del Fichero según la normativa se clasiﬁca

en tres categorías:

Administradores del sistema, encargados de administrar o mantener el entorno operativo del

Fichero. Este personal deberá estar explícitamente relacionado en el correspondiente documento,

017

Núm. 5/2017, de 27 de septiembre

I. DISPOSICIONES Y ACUERDOS GENERALES I.3. Rector

ya que por sus funciones pueden utilizar herramientas de administración que permitan el acceso

a los datos protegidos saltándose las barreras de acceso de la Aplicación.

Usuarios Autorizado del Puesto de Trabajo (UAPT), o personal que usualmente utiliza el sistema

informático y la documentación en papel correspondiente al Fichero, y que también deben estar

explícitamente relacionados en el correspondiente documento.

Responsable de Seguridad.

Cualquier otro perﬁl de personal que se determine por los Responsables Propietarios de los ﬁcheros

de datos personales de la Universidad de Sevilla, debe recogerse las funciones y obligaciones de los

mismos en el Documento de Seguridad.

Las funciones y obligaciones de cada una de las personas con acceso a los datos de carácter personal

y a los sistemas de información están deﬁnidas de forma general en el Capítulo siguiente y de forma

especíﬁca para cada ﬁchero en los correspondientes Anexos para cada ﬁchero.

Para asegurar que todas las personas conocen las normas de seguridad que afectan al desarrollo de

sus funciones, así como las consecuencias del incumplimiento de las mismas, serán informadas de

acuerdo con el siguiente procedimiento:

Se determinará las personas autorizadas para enviar la información sobre seguridad tales como

circulares, recordatorios, nuevas normas leyes, etc…

En función del perﬁl del personal de la Universidad de Sevilla las personas autorizadas enviarán

en formato papel o electrónico aquella información de seguridad que le concierna. Es de interés

establecer mecanismos de acuse de recibo de esta información.

En función del perﬁl del personal de la Universidad de Sevilla el personal autorizado enviará

las normas nuevas que se establezcan en materia de seguridad en datos personales y las

consecuencias de su incumplimiento. Es de interés establecer mecanismos de acuse de recibo de

esta información.

Se establecerán sesiones de concienciación del personal para dar a conocer la necesidad de

cumplir tanto los requerimientos legales, la Política de Seguridad Corporativa y la Política de

Uso Aceptable.

CAPÍTULO IV. FUNCIONES Y OBLIGACIONES DEL PERSONAL

IV.1. Funciones y obligaciones de carácter general.

Todo el personal que acceda a los datos de carácter personal está obligado a conocer y observar las

medidas, normas, procedimientos, reglas y estándares que afecten a las funciones que desarrolla.

Constituye una obligación del personal notiﬁcar al responsable del ﬁchero o de seguridad en su caso

las incidencias de seguridad de las que tengan conocimiento respecto a los recursos protegidos, según

los procedimientos establecidos en este Documento, y en concreto en su Capítulo V. Todas las personas

deberán guardar el debido secreto y conﬁdencialidad sobre los datos personales que conozcan en el

desarrollo de su trabajo.

Según el Art. 91.2 del Reglamento será preciso relacionar todos aquellos puestos de trabajo cuyos

titulares tengan acceso a los ﬁcheros que contengan datos de carácter personal con el nombre de la

persona que ocupa el puesto.

En el caso de que una misma función sea desarrollada por varias personas, la función se describirá

una sola vez apareciendo al lado el nombre de todas aquellas personas que la realicen. La relación

nominativa se puede realizar al no ser numerosa la parte de la plantilla que tiene acceso a estos ﬁcheros

y la poca movilidad de ésta. En otro caso habría que dar un código a cada una de las funciones y

018

Núm. 5/2017, de 27 de septiembre

I. DISPOSICIONES Y ACUERDOS GENERALES I.3. Rector

asignar éste a cada persona que le corresponda.

A continuación se pasa a detallar cada una de las funciones y obligaciones de los diferentes actores que

participan en la seguridad de los ﬁcheros de datos de carácter personal.

IV.2. Funciones y obligaciones de los Responsables de ﬁcheros automatizados.

El responsable del ﬁchero o la persona en quien estén delegadas sus funciones tendrá las siguientes

competencias y obligaciones respecto a las medidas de seguridad en relación con los ﬁcheros de nivel

básico:

Deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la

seguridad de los datos de carácter personal en los términos establecidos en el Reglamento.

Autorizar la ejecución de tratamiento de datos de carácter personal fuera de los locales de la

ubicación del ﬁchero.

Elaborará el Documento de Seguridad.

Adoptará las medidas necesarias para que el personal conozca las normas de seguridad

que afecten al desarrollo de sus funciones así como las consecuencias a que daría lugar su

incumplimiento.

Se encargará de que exista una relación actualizada de usuarios que tengan acceso autorizado al

Sistema de Información.

Establecerá los procedimientos de identiﬁcación y autenticación para dicho acceso.

Establecerá mecanismos para evitar que un usuario pueda acceder a datos o recursos con

derechos distintos de los autorizados.

Será quien únicamente pueda autorizar la salida fuera de los locales en que esté ubicado el

ﬁchero de soportes informáticos y documentos que contengan datos de carácter personal.

Veriﬁcará la deﬁnición y correcta aplicación de los procedimientos de realización de copias de

respaldo y de recuperación de datos.

Para los ﬁcheros declarados de nivel medio y alto de medidas de seguridad deberá además de:

Designar uno o varios responsables de seguridad.

Adoptará las medidas correctoras necesarias en función de lo que se exponga en el informe de

auditoria.

Establecerá un mecanismo que permita la identiﬁcación de forma inequívoca y personalizada

de todo aquel usuario que intente acceder al Sistema de Información y la veriﬁcación de que esté

autorizado.

Autorizar por escrito la ejecución de los procedimientos de recuperación.

IV.3. Funciones y obligaciones de los Responsables de Seguridad.

Pueden ser uno o varios (tecnológico y funcional).

Coordinará y controlará las medidas deﬁnidas en el Documento de Seguridad.

No tiene delegada la responsabilidad que le corresponde al responsable del ﬁchero.

Analizará los informes de auditoria.

Elevará las conclusiones del análisis al responsable del ﬁchero.

Controlará los mecanismos que permiten el registro de accesos.

Revisará periódicamente la información de control registrada.

Una vez al mes elaborará un informe de las revisiones realizadas en el registro de accesos.

019

Núm. 5/2017, de 27 de septiembre

I. DISPOSICIONES Y ACUERDOS GENERALES I.3. Rector

IV.4. Funciones y Obligaciones de los Responsables Propietarios de Ficheros.

Los Responsables Propietarios de los ﬁcheros asumen todas y cada una de las funciones y obligaciones

que tienen los Responsables de ﬁcheros automatizados reﬂejadas en la sección IV.2

A) Responsables Propietarios de Ficheros de Nivel Bajo. Funcional.

Inscripción/Modiﬁcación del ﬁchero.

Deberá rellenar los formularios de declaración/modiﬁcación del ﬁchero de datos personales para su

publicación en el BOJA y ante la Agencia de Protección de Datos. Indicando ﬁnalidad, contenido y

usos del tratamiento.

Recogida de datos personales.

Deberá tener en cuenta la calidad de los datos.

Informar a los interesados (a quienes se le solicitan datos) de modo expreso, preciso e inequívoco:

De la existencia del ﬁchero de datos personales, de la ﬁnalidad de la recogida de éstos y de los

destinatarios de la información.

Del carácter obligatorio o facultativo de su respuesta a preguntas planteadas.

De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

De la posibilidad de ejercer los derechos de acceso, rectiﬁcación, cancelación y oposición.

De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Todos los impresos y formularios Web de recogida de datos deben contener una leyenda donde se

informe a los afectados acerca de los extremos exigidos por el Art. 5.1 de la LOPD para los supuestos

de recogida de datos personales del propio afectado.

Acceso Físico.

Exclusivamente el personal autorizado en el documento de seguridad podrá tener acceso a los puestos

de trabajo desde los que se acceden a los sistemas de información con datos de carácter personal.

Cancelación de Datos.

Los datos de carácter personal serán cancelados (no conservados) cuando hayan dejado de ser

necesarios o pertinentes para la ﬁnalidad para la cual hubieran sido recabados o registrados.

Acceso a Datos Personales.

Determinar y registrar las personas que tienen acceso autorizado a aquellos datos y recursos que

precisen para el desarrollo de las funciones de los usuarios. Para ello debería de haber perﬁles

no lineales.

Comunicar los datos de dichas personas al Responsable Propietario de Nivel Bajo Tecnológico.

Registro de Incidencias Funcionales.

Se debe registrar: El tipo de incidencia, el momento en que se ha producido, la persona que

realiza la notiﬁcación, a quién se le comunica y los efectos que se hubieran derivado de la misma.

Además se deberán consignar, los procedimientos realizados de recuperación de los datos,

indicando la persona que ejecutó el proceso, los datos restaurados y , en su caso, qué datos ha

sido necesario grabar manualmente en el proceso de recuperación.

Autorizar por escrito, por delegación del responsable del ﬁchero, la ejecución de los

procedimientos de recuperación de los datos.

020

Núm. 5/2017, de 27 de septiembre

I. DISPOSICIONES Y ACUERDOS GENERALES I.3. Rector

B) Responsables Propietarios de Ficheros de Nivel Bajo. Tecnológico.

Identiﬁcación y Autenticación.

Determinar el personal que será administrador de acceso. Debe informarse de ello al Responsable

Propietario. Funcional.

Permitir el acceso a las personas que le indique el Responsable Propietario de Nivel Funcional.

Se establecerá un mecanismo que permita la identiﬁcación de forma inequívoca y personalizada

de todo aquel usuario que intente acceder al sistema de información y la veriﬁcación de que está

autorizado. Disponer de un timeout por tiempo de inactividad.

Si es con contraseña, habrá un sistema de asignación, distribución y almacenamiento que

garantice su conﬁdencialidad e integridad.

Las contraseñas se cambiarán con la periodicidad de al menos cada 12 meses y mientras estén

vigentes se almacenarán de forma ininteligible.

Soportes (Entrada/Salida y Desecho/reutilización).

Los soportes informáticos que contengan datos de carácter personal deberán permitir identiﬁcar

el tipo de información que contienen, ser inventariados y almacenarse en un lugar con acceso

restringido a personal autorizado para ello en el documento de seguridad.

Autorizar, por delegación del responsable del ﬁchero, la salida de soportes informáticos que

contengan datos de carácter personal, fuera de los locales en los que esté ubicado el ﬁchero.

Se adoptarán las medidas necesarias para impedir cualquier recuperación posterior de la

información almacenada en ellos, previamente a que se proceda a su baja en el inventario.

Registro de Incidencias Tecnológicas.

Se debe registrar: El tipo de incidencia, el momento en que se ha producido, la persona que

realiza la notiﬁcación, a quién se le comunica y los efectos que se hubieran derivado de la misma.

Además se deberán consignar, los procedimientos realizados de recuperación de los datos,

indicando la persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha

sido necesario grabar manualmente en el proceso de recuperación.

Autorizar por escrito, por delegación del responsable del ﬁchero, la ejecución de los

procedimientos de recuperación de los datos.

Acceso Físico.

Exclusivamente el personal autorizado en el documento de seguridad podrá tener acceso a los locales

donde se encuentren ubicados los sistemas de información con datos de carácter personal.

Copias de respaldo y recuperación.

Llevar a cabo procedimientos que garantizarán la reconstrucción de los datos en el estado en

que se encontraban al tiempo de producirse la pérdida o destrucción.

Realizar copias de respaldo, al menos semanalmente, salvo que en dicho periodo no se hubiera

producido ninguna actualización de los datos.

Conservar una copia de respaldo y de los procedimientos de recuperación de los datos en un

lugar diferente de aquél en que estén los equipos informáticos que los tratan

C) Responsables Propietarios de Ficheros de Nivel Medio.

Además de todas las funciones y responsabilidades deﬁnidas anteriormente los responsables

propietarios de ﬁcheros de Nivel Bajo deben añadir las siguientes:

021

Núm. 5/2017, de 27 de septiembre

I. DISPOSICIONES Y ACUERDOS GENERALES I.3. Rector

Designar Responsable de Seguridad del ﬁchero.

Deberá designarse uno o varios responsables de seguridad encargados de coordinar y controlar las

medidas deﬁnidas en el ﬁchero. Esta designación puede ser única para todos los ﬁcheros o tratamientos

de datos de carácter personal o bien diferenciada según los sistemas de tratamiento utilizados,

circunstancia que deberá hacerse constar claramente en el documento de seguridad.

En ningún caso esta designación supone una exoneración de la responsabilidad que corresponde al

responsable del ﬁchero o al encargado del tratamiento de acuerdo con este reglamento.

Realizar Auditoría Bienal.

Los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán,

al menos cada dos años, a una auditoría interna o externa que veriﬁque el cumplimiento de las medidas

de seguridad establecidas en el título VIII del Reglamento.

Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modiﬁcaciones

sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas

de seguridad implantadas con el objeto de veriﬁcar la adaptación, adecuación y eﬁcacia de las mismas.

Esta auditoría inicia el cómputo de dos años señalado en el párrafo anterior.

El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles a la Ley

y su desarrollo reglamentario, identiﬁcar sus deﬁciencias y proponer las medidas correctoras o

complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se

basen los dictámenes alcanzados y las recomendaciones propuestas.

Los informes de auditoría serán analizados por el responsable de seguridad competente, que elevará

las conclusiones al responsable del ﬁchero o tratamiento para que adopte las medidas correctoras

adecuadas y quedarán a disposición de la Agencia Española de Protección de Datos o, en su caso, de

las autoridades de control de las comunidades autónomas.

Establecer sistemas de registros de entrada/salida de soportes.

Debe establecerse un sistema de registro de entrada de soportes que permita, directa o indirectamente,

conocer el tipo de soporte o documento, la fecha y hora, el emisor, el número de soportes o documentos

incluidos en el envío, el tipo de información que contienen, la forma de envío y la persona responsable

de la recepción que deberá estar debidamente autorizada.

Igualmente, se dispondrá de un sistema de registro de salida de soportes que permita, directa o

indirectamente, conocer el tipo de soporte, la fecha y hora, el destinatario, el número de documentos

o soportes incluidos en el envío, el tipo de información que contienen, la forma de envío y la persona

responsable de la entrega que deberá estar debidamente autorizada.

D) Responsables Propietarios de Ficheros de Nivel Alto. Funcional.

Además de todas las funciones y responsabilidades deﬁnidas anteriormente para los Responsables

Propietarios de Nivel Bajo. Funcional y Medio deben añadir las siguientes:

Sistemas de gestión y distribución de soportes.

La identiﬁcación de los soportes se deberá realizar utilizando sistemas de etiquetado comprensibles y

con signiﬁcado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos

identiﬁcar su contenido, y que diﬁculten la identiﬁcación para el resto de personas.

La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos

datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o

022

Núm. 5/2017, de 27 de septiembre

I. DISPOSICIONES Y ACUERDOS GENERALES I.3. Rector

manipulada durante su transporte.

Asimismo, se cifrarán los datos que contengan los dispositivos portátiles cuando éstos se encuentren

fuera de las instalaciones que están bajo el control del responsable del ﬁchero.

Deberá evitarse el tratamiento de datos de carácter personal en dispositivos portátiles que no permitan

su cifrado. En caso de que sea estrictamente necesario se hará constar motivadamente en el documento

de seguridad y se adoptarán medidas que tengan en cuenta los riesgos de realizar tratamientos en

entornos desprotegidos

Copias de respaldo y recuperación en lugar diferente.

Si el ﬁchero es de nivel alto, el responsable de las copias de respaldo y recuperación, deberá conservar

una copia de respaldo de los datos y de los procedimientos de recuperación de los mismos en un lugar

diferente de aquel en que se encuentren los equipos informáticos que los tratan, que deberá cumplir

en todo caso las medidas de seguridad exigidas, o utilizando elementos que garanticen la integridad y

recuperación de la información, de forma que sea posible su recuperación.

Transmisión segura de datos de carácter personal de nivel alto.

Se hará a través de redes de telecomunicaciones cifrando dichos datos o bien utilizando cualquier otro

mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.

E) Responsables Propietarios de Ficheros de Nivel Alto. Tecnológico.

Sistemas de gestión y distribución de soportes.

La identiﬁcación de los soportes se deberá realizar utilizando sistemas de etiquetado comprensibles y

con signiﬁcado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos

identiﬁcar su contenido, y que diﬁculten la identiﬁcación para el resto de personas.

La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos

datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o

manipulada durante su transporte.

Asimismo, se cifrarán los datos que contengan los dispositivos portátiles cuando éstos se encuentren

fuera de las instalaciones que están bajo el control del responsable del ﬁchero.

Deberá evitarse el tratamiento de datos de carácter personal en dispositivos portátiles que no permitan

su cifrado. En caso de que sea estrictamente necesario se hará constar motivadamente en el documento

de seguridad y se adoptarán medidas que tengan en cuenta los riesgos de realizar tratamientos en

entornos desprotegidos.

Copias de respaldo y recuperación en lugar diferente.

Si el responsable de las copias de respaldo y recuperación, deberá conservarse una copia de respaldo

de los datos y de los procedimientos de recuperación de los mismos en un lugar diferente de aquel

en que se encuentren los equipos informáticos que los tratan, que deberá cumplir en todo caso las

medidas de seguridad exigidas, o utilizando elementos que garanticen la integridad y recuperación de

la información, de forma que sea posible su recuperación.

Registro de accesos.

De cada acceso se guardarán, como mínimo, la identiﬁcación del usuario, la fecha y hora en que

se realizó, el ﬁchero accedido, el tipo de acceso y si ha sido autorizado o denegado.

023

Núm. 5/2017, de 27 de septiembre

I. DISPOSICIONES Y ACUERDOS GENERALES I.3. Rector

En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita

identiﬁcar el registro accedido (mínimo 2 años).

Los mecanismos que permiten el registro de los datos detallados en los párrafos anteriores

estarán bajo el control directo del responsable de seguridad sin que se deba permitir, en ningún

caso, la desactivación de los mismos.

Copias de respaldo y recuperación en lugar diferente.

Si el responsable de las copias de respaldo y recuperación, deberá conservarse una copia de respaldo

de los datos y de los procedimientos de recuperación de los mismos en un lugar diferente de aquel

en que se encuentren los equipos informáticos que los tratan, que deberá cumplir en todo caso las

medidas de seguridad exigidas, o utilizando elementos que garanticen la integridad y recuperación de

la información, de forma que sea posible su recuperación.

Transmisión de datos de carácter personal de nivel alto.

Se hará a través de redes de telecomunicaciones cifrando dichos datos o bien utilizando cualquier otro

mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.

IV.5. Funciones y Obligaciones para los Responsables Propietarios de los ﬁcheros de datos

personales mixtos (automatizados y en papel).

Serádeaplicaciónloestablecidoanteriormenteparalosﬁcherosautomatizados,conlascorrespondientes

peculiaridades.

Criterios de archivo.

El archivo de los soportes o documentos se realizará de acuerdo con los criterios previstos en su

respectiva legislación. Estos criterios deberán garantizar la correcta conservación de los documentos,

la localización y consulta de la información y posibilitar el ejercicio de los derechos de oposición al

tratamiento, acceso, rectiﬁcación y cancelación.

En aquellos casos en los que no exista norma aplicable, el responsable del ﬁchero deberá establecer los

criterios y procedimientos de actuación que deban seguirse para el archivo.

Dispositivos de almacenamiento.

Los dispositivos de almacenamiento de los documentos que contengan datos de carácter personal

deberán disponer de mecanismos que obstaculicen su apertura. Cuando las características físicas de

aquéllos no permitan adoptar esta medida, el responsable del ﬁchero o tratamiento adoptará medidas

que impidan el acceso de personas no autorizadas.

Custodia de los soportes.

Mientras la documentación con datos de carácter personal no se encuentre archivada en los

dispositivos de almacenamiento establecidos en el artículo anterior, por estar en proceso de revisión

o tramitación, ya sea previo o posterior a su archivo, la persona que se encuentre al cargo de la misma

deberá custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada.

Copia o reproducción.

La generación de copias o la reproducción de los documentos únicamente podrá realizarse bajo el

control del personal autorizado en el documento de seguridad.

Deberá procederse a la destrucción de las copias o reproducciones desechadas de forma que se evite el

acceso a la información contenida en las mismas o su recuperación posterior.

024

Núm. 5/2017, de 27 de septiembre

I. DISPOSICIONES Y ACUERDOS GENERALES I.3. Rector

Acceso a la documentación.

El acceso a la documentación se limitará exclusivamente al personal autorizado.

Se establecerán mecanismos que permitan identiﬁcar los accesos realizados en el caso de documentos

que puedan ser utilizados por múltiples usuarios.

El acceso de personas no incluidas en el párrafo anterior deberá quedar adecuadamente registrado de

acuerdo con el procedimiento establecido al efecto en el documento de seguridad.

Traslado de documentación.

Siempre que se proceda al traslado físico de la documentación contenida en un ﬁchero, deberán

adoptarse medidas dirigidas a impedir el acceso o manipulación de la información objeto de traslado.

Para ﬁcheros no automatizados de nivel de SEGURIDAD ALTO, además de lo anteriormente previsto

se debe tener en cuenta:

Almacenamiento de la información.

Los armarios, archivadores u otros elementos en los que se almacenen los ﬁcheros no automatizados

con datos de carácter personal deberán encontrarse en áreas en las que el acceso esté protegido con

puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Dichas

áreas deberán permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el

ﬁchero.

Si, atendidas las características de los locales de que dispusiera el responsable del ﬁchero o tratamiento,

no fuera posible cumplir lo establecido en el apartado anterior, el responsable adoptará medidas

alternativas que, debidamente motivadas, se incluirán en el documento de seguridad.

IV.6. Administradores y Personal Informático.

Funciones y obligaciones generales.

Realizar el mantenimiento preventivo periódico a todos los equipos, dispositivos electrónicos y

conexiones de red.

Mantener y administrar las cuentas de usuario de todas las aplicaciones que utiliza el usuario

(

Active Directory, Correo electrónico, sistema telefónico, sistemas propios, etc.).

Elaborar e implementar un plan de copias de seguridad de toda la información de carácter

personal del ﬁchero almacenada en los servidores y en los equipos personales establecidos.

Elaborar e implementar políticas de seguridad informática interna y externa de la red.

Administrar las diferentes aplicaciones servidoras y los sistemas gestores de base de datos.

Participar activa y técnicamente en el desarrollo de sof ware y atender nuevos requerimientos

de las aplicaciones propias.

Capacitar al personal en el uso de aplicaciones propias y adquiridas y en políticas de uso aceptable

de los recursos informáticos.

Evaluar nuevas tecnologías emergentes para la posible aplicación de las mismas en el tratamiento

de datos personales.

Entorno de sistema operativo y de Comunicaciones.

Ninguna herramienta o programa de utilidad que permita el acceso al Fichero deberá ser accesible

a ningún usuario o administrador no autorizado en el correspondiente documento de acceso al

Fichero. En la norma anterior se incluye cualquier medio de acceso en bruto, es decir no elaborado

o editado, a los datos del Fichero, como los llamados “queries”, editores universales, analizadores de

025

Núm. 5/2017, de 27 de septiembre

I. DISPOSICIONES Y ACUERDOS GENERALES I.3. Rector

ﬁcheros, etc., que deberán estar bajo el control de los administradores autorizados relacionados en el

correspondiente documento.

El administrador deberá responsabilizarse de guardar en lugar protegido las copias de seguridad y

respaldo del Fichero, de forma que ninguna persona no autorizada tenga acceso y si fuera el ﬁchero

de nivel alto deberá guardarse en lugar diferente a donde se encuentran los sistemas de tratamiento.

Sistema Informático o aplicaciones de acceso al Fichero.

Si la aplicación informática que permite el acceso al Fichero no cuenta con un control de acceso,

deberá ser el sistema operativo, donde se ejecuta esa aplicación, el que impida el acceso no autorizado,

mediante el control de los citados códigos de usuario y contraseñas.

Salvaguarda y protección de las contraseñas personales.

Las contraseñas se asignarán y se cambiarán mediante el mecanismo y periodicidad que se determine,

pero nunca superior a un año. Este mecanismo de asignación y distribución de las contraseñas deberá

garantizar la conﬁdencialidad de las mismas, y será responsabilidad del administrador del sistema.

Elarchivodondesealmacenenlascontraseñasdeberáestarprotegidoparaconservarlaconﬁdencialidad

e integridad y estará bajo la responsabilidad del administrador del sistema.

Procedimientos de respaldo y recuperación.

Existirá una persona, bien sea el administrador o bien otro usuario expresamente designado, que será

responsable de obtener una copia de seguridad del ﬁchero, a efectos de respaldo y posible recuperación

en caso de fallo.

Estas copias deberán realizarse con una periodicidad, al menos, semanal, salvo en el caso de que no se

haya producido ninguna actualización de los datos.

En caso de fallo del sistema con pérdida total o parcial de los datos del Fichero existirá un

procedimiento, informático o manual, que partiendo de la última copia de respaldo y del registro de

las operaciones realizadas desde el momento de la copia, reconstruya los datos del Fichero al estado

en que se encontraban en el momento del fallo. Ese procedimiento está descrito en el apartado II.9 de

este documento.

IV.7. Puestos de trabajo.

Antes de tomar posesión del puesto de trabajo.

Los puestos de trabajo estarán bajo la responsabilidad de algún usuario autorizado que debería

conocer la correspondiente normativa en protección de datos personales española: Ley 15/1999,

Reglamento RD 1720/2007 y Documento de Seguridad de la Universidad de Sevilla (US) ya que el

cumplimiento legal es responsabilidad de cada usuario autorizado. Cada uno de ellos ﬁrmará un recibí

del Documento de Seguridad de la US antes de tomar posesión del puesto de trabajo.

Durante el desempeño de la función correspondiente en el puesto de trabajo.

Protección de datos personales en formato papel:

Los usuarios autorizados de los puestos de trabajo (UAPT) deben realizar o solicitar al servicio

correspondiente el cierre con llave de los despachos al abandonar en último lugar los mismos.

Los UAPT deben dejar los informes, expedientes y listados con datos personales siempre en un

armario o archivador cerrado con llave cuando no se encuentre en el puesto de trabajo.

026

Núm. 5/2017, de 27 de septiembre

I. DISPOSICIONES Y ACUERDOS GENERALES I.3. Rector

Los UAPT deben tener precaución con los documentos con datos personales que se dejen en

fotocopiadoras, fax, encima de la mesa no son accedidos por personal no autorizado.

Los UAPT no deben ceder ni comunicar nunca datos personales a otras Administraciones,

Entidades o Particulares sin autorización del Responsable Propietario del Fichero.

Para la destrucción de documentos o listados que contengan datos personales en soporte papel,

deberán utilizar la destructora de papel con un nivel DIN adecuado de la destructora, para datos

de nivel alto deberá ser 4 o 5 y para otros datos el nivel debería ser 3.

Protección de datos personales en formato digital:

Los UAPT garantizarán que la información que muestran los sistemas informáticos no pueda

ser visible por personas no autorizadas. Esto implica que tanto las pantallas como las impresoras

u cualquier otro tipo de dispositivos conectados al puesto de trabajo deberán estar físicamente

ubicados en lugares que garanticen esa conﬁdencialidad.

Cuando el UAPT abandone su puesto de trabajo, bien temporalmente o bien al ﬁnalizar su

turno de trabajo, deberá dejarlo en un estado que impida la visualización y acceso a los datos

personales protegidos. Esto podrá realizarse a través de un protector de pantalla que impida

dicha visualización y/o acceso. La reanudación del trabajo implicará la desactivación de la

pantalla protectora con la introducción de la contraseña correspondiente.

En el caso de las impresoras deberá asegurarse de que no quedan documentos impresos en la

bandeja de salida que contengan datos protegidos.

Si las impresoras son compartidas con otros usuarios no autorizados para acceder a los datos

de ﬁchero, los responsables de cada puesto deberán preocuparse de retirar los documentos

conforme vayan siendo impresos.

Queda expresamente prohibida la conexión a redes o sistemas exteriores de los puestos de trabajo

desde los que se realiza el acceso al ﬁchero. La revocación de esta prohibición será autorizada

por el Responsable Propietario del ﬁchero, quedando constancia de esta modiﬁcación en el

Registro de incidencias.

Si la identiﬁcación/autenticación se realiza mediante contraseñas, éstas tienen carácter personal

e intransferible, por lo que no pueden compartirse, deben cambiarse periódicamente, es

recomendable cambiarla cada tres meses y obligatoriamente cada año y deben cumplir la Política

de contraseña establecida en el Documento de Seguridad de la Universidad de Sevilla. En caso

de que la misma sea conocida fortuita o fraudulentamente por personas no autorizadas, deberá

notiﬁcarlo como incidencia y proceder a su cambio.

Cuando se sustituya un ordenador, debe solicitarse al servicio correspondiente el borrado o

destrucción segura de los datos personales que contiene. También de cualquier otro soporte

informático que contenga datos personales y se vaya a desechar.

El UAPT debe comunicar al Responsable Propietario del ﬁchero o la persona responsable de

ello según el Documento de Seguridad de la US sobre cualquier incidencia que detecte y que

pueda afectar a la seguridad de los datos de carácter personal (pérdida de expediente, pérdida

de listado, pérdida de soporte informático con datos personales, robo de contraseña, pérdida de

la integridad de los datos, etc.). El Responsable Propietario del ﬁchero o la persona responsable

de ello deberá proceder al registro de dicho incidente de seguridad.

Los UAPT que intervengan en cualquier fase del tratamiento de los datos de carácter personal

están obligados al secreto profesional respecto de los mismos y al deber de guardarlos.

027

Núm. 5/2017, de 27 de septiembre

I. DISPOSICIONES Y ACUERDOS GENERALES I.3. Rector

En la mayoría de los ﬁcheros se encuentran metadatos, el usuario del puesto de trabajo debe

evitar que estos sean conocidos por personas no autorizadas a dichos metadatos.

Todo ﬁchero temporal con datos personales debe ser borrado o destruido de forma segura

cuando deje de ser necesario y mientras se esté utilizando se debe garantizar el nivel de seguridad

correspondiente al tipo de dato personal tratado.

Los UAPT deben facilitar el ejercicio de los derechos de los interesados (Cláusulas de información

y ejercicio de derechos ARCO) comunicándoles a estos que deben ejercerlos ante el Gabinete

Jurídico de la Universidad de Sevilla, además a requerimiento de éste debe facilitar los datos

correspondientes a este Gabinete para dar respuesta los interesados.

Los UAPT pueden ser observado a través de la cámara de los dispositivos informáticos sin que lo

sepa. Por tanto es recomendable utilizar una pegatina para tapa la cámara cuando no se utilice.

Los puestos de trabajo desde los que se tiene acceso al ﬁchero tendrán una conﬁguración ﬁja

en sus aplicaciones, sistemas operativos que solo podrá ser cambiada bajo la autorización del

Responsable de seguridad o por administradores autorizados.

El UAPT debe cancelar los datos personales cuando hayan dejado de ser necesarios y pertinentes

para la ﬁnalidad para cual fueron recabados y siempre que no exista ley al respecto que obligue

a su conservación.

Las personas autorizadas a entrar en las instalaciones donde se almacenan/tratan datos

personales no deberán poder sacar de las mismas, sin autorización del Responsable Propietario,

del ﬁchero equipos o información.

Los UAPT deben mantener actualizado el sof ware que dispone en su puesto de trabajo (sistema

operativo, aplicaciones corporativas, antivirus…) y comprobar que no tiene instalado nuevos

dispositivos hardware que desconozcas su utilidad (keyloggers, memorias USB…).

Uso de dispositivos móviles (tablet y smartphone): No está autorizado de forma general el uso

de dispositivos móviles para el tratamiento de datos personales. Si el UAPT estuviera autorizado

por el Responsable Propietario del Fichero para usar dispositivos móviles debe comprobar que

la conﬁguración del dispositivo móvil es segura (Se puede usar de forma gratuita la herramienta

Conan Mobile del INCIBE) y si se trasladan datos de nivel alto estos deben ir cifrados en el

dispositivo móvil.

Uso de redes wiﬁ inseguras: No está autorizado de forma general el uso de redes wiﬁ inseguras

para el tratamiento de datos personales. Pues estas redes no disponen de clave y envían los

datos (incluyendo nombre de usuario y contraseña) sin ningún cifrado ni protección y los hace

accesibles a cualquier persona con ciertos conocimientos informáticos.

Uso de Cloud Computing (Computación en la nube): No se puede usar para el tratamiento

de datos personales recogidos en los ﬁcheros de la US mientras la Universidad de Sevilla no

establezca el correspondiente contrato de tratamiento de datos personales por terceros y se

determine si hay transferencia internacional de datos personales.

Uso de las redes sociales: No se pueden usar para el tratamiento de datos personales recogidos

en los ﬁcheros de la US mientras la Universidad de Sevilla no establezca el correspondiente

contrato de tratamiento de datos personales por terceros y se determine si hay transferencia

internacional de datos personales.

Protección contra etiquetas RFID: Si no se encuentra autorizado no se puede acceder a etiquetas

que contengan datos personales de los ﬁcheros contenidos en la US, y si se encuentra autorizado

podrá acceder a los datos personales de la misma para las funciones declaradas en el ﬁchero

028

Núm. 5/2017, de 27 de septiembre

I. DISPOSICIONES Y ACUERDOS GENERALES I.3. Rector

correspondiente, pero no se puede realizar el rastreo de las personas que usan estas etiquetas

RFID, ni usarse para el análisis de comportamientos individuales.

Al cese del usuario en la función que desempeña en el puesto de trabajo.

Deberá devolverse todos los activos de la Universidad de Sevilla que se le asignaron para el

puesto de trabajo.

Los permisos de acceso deben eliminarse en el mismo momento del cese en el puesto de trabajo.

Guardar secreto de toda la información relacionada con los datos personales que ha sido tratada

en la Universidad de Sevilla.

CAPÍTULO V. PROCEDIMIENTO DE NOTIFICACIÓN,

GESTIÓN Y RESPUESTA ANTE INCIDENCIAS

Se considerarán como “incidentes de seguridad”, entre otros, cualquier incumplimiento de la normativa

desarrollada en este Documento de Seguridad, así como a cualquier anomalía que afecte o pueda

afectar a la seguridad de los datos de carácter personal. El procedimiento a seguir para la notiﬁcación

de incidentes será:

Comprobar que se trata realmente de un incidente de seguridad de la información y no de un

error fortuito de una aplicación o del sistema operativo.

Recordar y/o anotar la actividad que se estaba desarrollando y cómo y porqué se piensa que se

trata de un incidente de seguridad e informar al servicio de gestión de incidentes correspondiente

Ceñirse a los hechos y omitir los juicios de valor.

No comunicar el incidente a personal ajeno a la Universidad de Sevilla para evitar fugas de

información.

No alterar el estado del sistema o sistemas implicados. Esperar a recibir una comunicación por

parte del servicio de gestión de incidentes para actuar de nuevo sobre el sistema.

El usuario y el administrador son responsables de llevar a cabo los procedimientos especiﬁcados para

notiﬁcar del incidente al servicio correspondiente de gestión de incidentes.

A continuación, se procederá a gestionar la incidencia de acuerdo al siguiente procedimiento de

respuesta a incidentes:

Priorizar los incidentes de seguridad existentes en base a su nivel de severidad: actividades que

afecten a la salud pública, ataques a servidores críticos o a información conﬁdencial, ataques

automatizados (denegación de servicio, gusanos), nuevos ataques.

Distribuir la carga de trabajo entre los miembros del servicio de gestión de incidentes, pero

manteniendo una línea de colaboración entre ellos.

Aplicar los procedimientos elaborados a través de la política “Identiﬁcando y recogiendo

evidencias de una intrusión”.

Tomar medidas para asegurar el sistema como:

•

Desconectar el sistema de la red informática si el impacto sobre la red es nulo.

Modiﬁcar las reglas de los cortafuegos para que sólo permitan las conexiones estrictamente

necesarias.

•

Detener las aplicaciones del sistema que no sean estrictamente necesarias.

Notiﬁcar a los usuarios por el método que se considere más adecuado de que se está

llevando a cabo una tarea de mantenimiento.

•

Vigilar el estado del tráﬁco sobre el sistema en busca de conexiones desconocidas.

Tras llegar a una conclusión sobre el análisis del sistema tomar las medidas oportunas para que

vuelva a funcionar de manera normal, siempre en comunicación con el afectado.

029

Núm. 5/2017, de 27 de septiembre

I. DISPOSICIONES Y ACUERDOS GENERALES I.3. Rector

Modiﬁcar las contraseñas del sistema afectado como medida general ante cualquier tipo de

incidente de seguridad.

El mantener un registro de incidencias es una condición que regula el Art. 90 del Reglamento y que

se convierte en una herramienta indispensable para la prevención y detección de posibles ataques a

la seguridad, así como la persecución de los responsables de los mismos. En el registro de incidencias

se consignarán los procedimientos de recuperación de datos que afecten a los ﬁcheros de nivel alto.

En el Anexo II se incluye el formato de documento 03-080-10 para llevar a cabo dicho registro de

incidencias.

Para ejecutar los procedimientos de recuperación de datos en los ﬁcheros mencionados en el párrafo

anterior, será necesaria la autorización por escrito del responsable del ﬁchero. En el formato 03-080-20

del Anexo II se incluye los documentos de autorización por parte del responsable del ﬁchero relativos

a la ejecución de procedimientos de recuperación de datos.

CAPÍTULO VI. PROCEDIMIENTO DE REVISIÓN

El Documento de Seguridad ha de estar siempre al día por lo cual ha de recibir cualquier tipo de

modiﬁcación que se produzca tanto desde el punto de vista técnico, organizativo como jurídico.

Ha de recoger todas las modiﬁcaciones que se produzcan tanto en el hardware como en el sof ware así

como en la estructura de los ﬁcheros.

Asimismo aquellas modiﬁcaciones que se produzcan en las medidas de seguridad de la Universidad.

Debe incorporar las variaciones que se produzcan en los diferentes procedimientos así como los

cambios que se produzcan en las funciones y obligaciones de las personas que tengan relación con los

ﬁcheros de datos de carácter personal.

Asesoría Jurídica deberá comunicar cualquier disposición sea del rango que sea que tenga que ver de

algún modo con los ﬁcheros de carácter personal teniendo especial cuidado con las disposiciones de

carácter reglamentario e instrucciones de la Agencia de Protección de Datos que aparezcan.

No hay que olvidar que el mantenimiento del Documento de Seguridad es tarea de varios y no sólo de

su depositario: el Servicio de Informática y Comunicaciones de la Universidad de Sevilla.

Toda revisión del Documento de Seguridad se hará conforme a lo dictado en el documento 03-130-00.

Auditoría

Para los ﬁcheros de datos personales de nivel medio y alto de la Universidad de Sevilla se han de

realizar Auditorías. La Auditoria que se realice ha de reunir las siguientes condiciones:

Puede ser interna o externa.

La periodicidad ha de ser al menos cada dos años.

Se veriﬁcará el cumplimiento del Reglamento en materia de seguridad.

El informe de auditoría dictaminará sobre la adecuación de las medidas de seguridad y controles

al presente Reglamento.

Identiﬁcará sus deﬁciencias y propondrá las medidas correctoras y complementarias necesarias.

Deberá incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y

las recomendaciones propuestas.

El informe una vez analizado por el responsable de seguridad quedará a disposición de la

Agencia de Protección de Datos. (Art. 96.3)

030

Núm. 5/2017, de 27 de septiembre

I. DISPOSICIONES Y ACUERDOS GENERALES I.3. Rector

CAPÍTULO VII. CONSECUENCIAS DEL INCUMPLIMIENTO

DEL DOCUMENTO DE SEGURIDAD

El incumplimiento de las obligaciones y medidas de seguridad establecidas en el presente documento

por el personal afectado, en cuanto puedan suponer infracciones disciplinarias, se someterán al

régimen disciplinario que resulta aplicable.

Para establecer el cumplimiento de lo indicado en el Documento de Seguridad se podrían realizar

controles periódicos de acuerdo a lo establecido en el documento 03-090-00 del Anexo II.

APÉNDICE: LENGUAJE DE GÉNERO

Este documento ha sido redactado con género masculino como género gramatical no marcado.

Cuando proceda, será válido el uso del género femenino.

ANEXO I: NOMBRAMIENTOS

Para los nombramientos de las personas que serán los Responsables de Seguridad y los Responsables

Propietarios de los ﬁcheros se podrán usar los siguientes formatos:

1-010-00 Identiﬁcación del responsable de seguridad.

1-020-00 Identiﬁcación de los responsables propietarios de los ﬁcheros.

Los documentos que contienen la información sobre los Responsables Propietarios de Ficheros

vigentes se encuentran en la aplicación Web de Gestión de la LOPD, con acceso seguro.

1-010-00

IDENTIFICACIÓN DEL RESPONSABLE DE SEGURIDAD EN VIGOR DESDE

ELABORADO POR

APROBADO POR

FECHA

8 DICIEMBRE 2015

FECHA

UNIVERSIDAD

DE SEVILLA

COMISION DE

SEGURIDAD

16 DICIEMBRE 2016

Función: Coordinación general y aspectos jurídicos

Responsable de Seguridad a efectos jurídicos: Director/a Gabinete Jurídico

División o Departamento: Gabinete Jurídico

Dirección: San Fernando, 4

Teléfono: 954.551.092

e-mail: servjuri2@us.es

Función: Coordinación general y aspectos técnicos

Responsable de Seguridad a efectos técnicos: Responsable de Seguridad Delegado/a

División o Departamento: Servicio de Informática y Comunicaciones

Dirección: Campus Reina Mercedes, s/n

Teléfono: 954.550.171

e-mail: seguridad-lopd@listas.us.es

ANEXO II: FORMATOS DE DOCUMENTOS

Para el cumplimiento de lo indicado en cada uno de los apartados de este Documento de Seguridad y

de acuerdo con el Reglamento se utilizarán los siguientes formatos.

031

Núm. 5/2017, de 27 de septiembre

I. DISPOSICIONES Y ACUERDOS GENERALES I.3. Rector

Todos estos formatos para la gestión de lo previsto en la LOPD y el Reglamento 1720/2007 se

encuentran en la aplicación Web de Gestión de la LOPD, con acceso seguro.

2.- Ámbito de aplicación del documento con especiﬁcación detallada de los recursos protegidos.

02-010-00 Inventario de hardware (A cumplimentar por los responsables propietarios. Nivel

Tecnológico, de cada uno de los ﬁcheros de nivel alto declarados).

02-020-00 Inventario de sof ware (A cumplimentar por los responsables propietarios. Nivel

Tecnológico, de cada uno de los ﬁcheros de nivel alto declarados).

3.- Medidas, normas, procedimientos, reglas y estándares.

03-060-20 Relación de personal autorizado para acceder a datos de carácter personal (A

cumplimentar por los responsables propietarios. Nivel Funcional y Nivel Tecnológico, de cada

uno de los ﬁcheros de nivel alto declarados).

03-060-30Personaladministradordeaccesos(Acumplimentarporlosresponsablespropietarios.

Nivel Tecnológico, de cada uno de los ﬁcheros de nivel alto declarados).

03-060-40 Control de Acceso Físico (A cumplimentar por los responsables propietarios. Nivel

Tecnológico, de cada uno de los ﬁcheros de nivel alto declarados).

03-070-00 Procedimiento de gestión de soportes (A cumplimentar por los responsables

propietarios. Nivel Tecnológico, de cada uno de los ﬁcheros de nivel alto declarados).

03-070-10 Inventario de soportes (A cumplimentar por los responsables propietarios. Nivel

Tecnológico, de cada uno de los ﬁcheros de nivel alto declarados).

03-070-20Autorizadosparaaccederalalmacéndesoportes(Acumplimentarporlosresponsables

propietarios. Nivel Tecnológico, de cada uno de los ﬁcheros de nivel alto declarados).

Registro de entrada de soportes (A cumplimentar por los responsables propietarios. Nivel

Funcional y Nivel Tecnológico, de cada uno de los ﬁcheros de nivel alto declarados).

Registro de salida de soportes (A cumplimentar por los responsables propietarios. Nivel

Funcional y Nivel Tecnológico, de cada uno de los ﬁcheros de nivel alto declarados).

03-080-10 Registro de incidencias (A cumplimentar por los responsables propietarios. Nivel

Funcional y Nivel Tecnológico, de cada uno de los ﬁcheros de nivel alto declarados).

03-080-20 Autorizados para hacer recuperación de datos (A cumplimentar por los responsables

propietarios. Nivel Tecnológico, de cada uno de los ﬁcheros de nivel alto declarados).

03-110-00 Procedimiento de control de accesos físicos.

03-120-00 Procedimiento de copias de respaldo (A cumplimentar por los responsables

propietarios. Nivel Tecnológico, de cada uno de los ﬁcheros de nivel alto declarados).

03-140-00 Procedimiento de pruebas con datos reales (A cumplimentar por los responsables

propietarios. Nivel Tecnológico, de cada uno de los ﬁcheros de nivel alto declarados).

8.- Glosario.

08-020-00 Glosario de términos de protección de datos.

032