Documento de Seguridad LOPD C. Funciones y obligaciones del
Transcripción
Documento de Seguridad LOPD C. Funciones y obligaciones del
Documento de Seguridad LOPD Gestión Normativa Seguridad TI C. Funciones y obligaciones del personal C.1.- Información y autorización previa 1. Para asegurar que todas las personas conocen las normas de seguridad que afectan al desarrollo de sus funciones, así como las consecuencias del incumplimiento de las mismas, serán informadas mediante el procedimiento general de publicación de la Entidad ubicando este documento y los relacionados con él en la Intranet Corporativa. 2. La remisión periódica de información sobre seguridad, actualizaciones de los documentos o procedimientos se publicarán puntualmente mediante los canales oficiales, “noticias” en la intranet, circulares o normativa dependiendo del ámbito de aplicación o la naturaleza de la misma. C.2.- Confidencialidad de la información 3. Queda prohibido enviar información confidencial de la empresa al exterior, a través de soportes o de cualquier otro medio de comunicación, incluyendo la simple visualización o acceso. 4. Los usuarios de los sistemas de información corporativos deberán guardar, por tiempo indefinido, la máxima reserva y no divulgar ni utilizar directamente ni a través de terceras personas o empresas, los datos, documentos, metodologías, claves, análisis, programas y demás información a la que tengan acceso durante su relación laboral con la empresa. Esta obligación continuará vigente tras la extinción del contrato laboral. 5. Ningún empleado o usuario deberá poseer, para usos no propios de su cargo, ningún material o información propiedad de la empresa tanto ahora como en el futuro. 6. En el caso de que, por motivos directamente relacionados con el puesto de trabajo, el empleado entre en posesión de información confidencial bajo cualquier tipo de soporte, deberá entenderse que dicha posesión es estrictamente temporal, con obligación de secreto y sin que ello le otorgue derecho alguno de posesión, o titularidad o copia sobre la referida información. Asimismo, el trabajador deberá devolver dichos materiales a la empresa, inmediatamente después de la finalización de las tareas que han originado el uso temporal de los mismos, y en cualquier caso, a la finalización de la relación laboral. La utilización continuada de la información en cualquier formato o soporte de forma distinta a la pactada y sin conocimiento de la empresa, no supondrá, en ningún caso, una modificación de esta cláusula. 7. El incumplimiento de esta obligación puede constituir un delito de revelación de secretos, previsto en el artículo 197 y siguientes del Código Penal y dará derecho a la empresa a exigir al usuario una indemnización económica. 8. Cuando se trate de personal ajeno, el contrato de prestación de servicios recogerá expresamente la prohibición de acceder a los datos personales y la obligación de secreto respecto de aquellos datos que hubiera podido conocer durante la prestación del servicio. 9. El personal que realice trabajos que no impliquen el tratamiento de datos personales tendrán limitado el acceso a estos datos, a los soportes que los contengan, o a los recursos del sistema de información. 10. El usuario de los sistemas, recursos informáticos y de comunicaciones de CAM, desconectará las sesiones de trabajo abiertas en su pantalla en el momento en que cese de utilizarlas, bien al ausentarse de su puesto de trabajo, bien al finalizar la jornada, con objeto de evitar que una persona no autorizada 11/09/2006 Documento: dslopdcajamediterráneo.doc Página 7 de 24 Documento de Seguridad LOPD Gestión Normativa Seguridad TI realice operaciones en la sesión abierta. En ningún momento podrá deshabilitar/modificar los controles automáticos establecidos a tal fin. 11. El personal de la Entidad adoptará las máximas precauciones en orden a preservar la confidencialidad de la documentación que maneje, evitando que terceros puedan acceder a la misma. C.3.- Propiedad intelectual e industrial 12. Queda estrictamente prohibido el uso de programas informáticos sin la correspondiente licencia, así como el uso, reproducción, cesión, transformación o comunicación pública de cualquier tipo de obra o invención protegida por la propiedad intelectual o industrial. C.4.- Incidencias 13. Es obligación de todo el personal de la empresa comunicar al responsable de seguridad cualquier incidencia que se produzca respecto a la información confidencial a que tengan acceso. El proceso que se deberá seguir es el mismo que el indicado para la gestión y resolución de incidencias sobre ficheros que contienen información de datos de carácter personal y que se describen en el apartado F.1. del documento. C.5.- Protección de Datos 14. Todo empleado o usuario, que en desarrollo de su trabajo recabe datos de carácter personal de clientes, proveedores, otros empleados o terceros en general para su incorporación a un fichero automatizado o no automatizado, deberá informar al Departamento Arquitectura y Seguridad TI y Gestión Normativa al objeto de recabar su autorización y estudiar junto con los miembros del Comité de LOPD de la Entidad, las normas aplicables para la creación, declaración y mantenimiento del fichero, a las que deberá ajustarse en todo caso. 15. Cruzar información relativa a datos de diferentes ficheros o servicios con el fin de establecer perfiles de personalidad, hábitos de consumo o cualquier otro tipo de preferencias, sin la autorización expresa del responsable de seguridad. 16. Cualquier otra actividad expresamente prohibida en este documento o en las normas sobre protección de datos e Instrucciones de la Agencia Española de Protección de Datos. 17. El incumplimiento de las obligaciones descritas, sin perjuicio de las posibles responsabilidades laborales, puede constituir un delito de revelación de secretos previstos en el Código Penal y sancionables como tal. C.6. Uso del correo electrónico El sistema informático, la red corporativa y los terminales utilizados por cada usuario son propiedad de la Caja de Ahorros del Mediterráneo. 11/09/2006 Documento: dslopdcajamediterráneo.doc Página 8 de 24 Documento de Seguridad LOPD Gestión Normativa Seguridad TI El correo electrónico es una herramienta de trabajo que la Caja pone a disposición de la plantilla para uso exclusivamente profesional, por lo que todos los mensajes de correo electrónico tendrán la consideración de laborales, tanto el interno, como el externo con otras redes públicas o privadas, y especialmente Internet. Se establecerán por tanto los controles necesarios y propios de la relación laboral La Entidad monitorizará y revisará los archivos de Logs y auditoria del servidor, con el fin de prevenir actividades que puedan afectar a la Caja como responsable civil subsidiario. Cualquier fichero introducido en la red corporativa o en el puesto de trabajo a través de mensajes de correo electrónico que provenga de redes externas, deberá cumplir los requisitos establecidos en estas normas y en especial a las referidas a la propiedad intelectual, industrial y al control de código informático malicioso. Se observarán en todo momento las recomendaciones sobre el uso del correo descrito en el Cuerpo Normativo de Seguridad de la Información. C.7. Acceso a Internet El uso del sistema informático para acceder a redes públicas como Internet, se limitará a temas directamente relacionados con la actividad de la Entidad y a las funciones relacionadas con el puesto de trabajo del usuario. El acceso a debates en tiempo real (Chat/IRC) es especialmente peligroso, ya que facilita la instalación de utilidades que permiten accesos al sistema no autorizados. Queda prohibido su uso. El acceso a páginas Web, grupos de noticias, y otras fuentes de información (transferencias FTP, etc.) se limitará a aquellos que contengan información relacionada con la actividad de la empresa o con los cometidos del puesto de trabajo del usuario. La Entidad podrá monitorizar cualquier sesión de acceso a Internet iniciada por un usuario desde la red corporativa. Cualquier fichero introducido en la red o en el puesto de trabajo desde Internet, debe cumplir los requisitos establecidos en estas normas y en especial, las referidas a propiedad intelectual, industrial y al control del código informático malicioso. 11/09/2006 Documento: dslopdcajamediterráneo.doc Página 9 de 24