Documento de Seguridad LOPD C. Funciones y obligaciones del

Documento de Seguridad LOPD C. Funciones y obligaciones del

Documento de Seguridad LOPD
Gestión
Normativa
Seguridad TI
C. Funciones y obligaciones del personal
C.1.- Información y autorización previa
1. Para asegurar que todas las personas conocen las normas de seguridad que afectan al desarrollo de sus
funciones, así como las consecuencias del incumplimiento de las mismas, serán informadas mediante el
procedimiento general de publicación de la Entidad ubicando este documento y los relacionados con él
en la Intranet Corporativa.
2. La remisión periódica de información sobre seguridad, actualizaciones de los documentos o
procedimientos se publicarán puntualmente mediante los canales oficiales, “noticias” en la intranet,
circulares o normativa dependiendo del ámbito de aplicación o la naturaleza de la misma.
C.2.- Confidencialidad de la información
3. Queda prohibido enviar información confidencial de la empresa al exterior, a través de soportes o de
cualquier otro medio de comunicación, incluyendo la simple visualización o acceso.
4. Los usuarios de los sistemas de información corporativos deberán guardar, por tiempo indefinido, la
máxima reserva y no divulgar ni utilizar directamente ni a través de terceras personas o empresas, los
datos, documentos, metodologías, claves, análisis, programas y demás información a la que tengan
acceso durante su relación laboral con la empresa. Esta obligación continuará vigente tras la extinción
del contrato laboral.
5. Ningún empleado o usuario deberá poseer, para usos no propios de su cargo, ningún material o
información propiedad de la empresa tanto ahora como en el futuro.
6. En el caso de que, por motivos directamente relacionados con el puesto de trabajo, el empleado entre
en posesión de información confidencial bajo cualquier tipo de soporte, deberá entenderse que dicha
posesión es estrictamente temporal, con obligación de secreto y sin que ello le otorgue derecho alguno
de posesión, o titularidad o copia sobre la referida información. Asimismo, el trabajador deberá devolver
dichos materiales a la empresa, inmediatamente después de la finalización de las tareas que han
originado el uso temporal de los mismos, y en cualquier caso, a la finalización de la relación laboral. La
utilización continuada de la información en cualquier formato o soporte de forma distinta a la pactada y
sin conocimiento de la empresa, no supondrá, en ningún caso, una modificación de esta cláusula.
7. El incumplimiento de esta obligación puede constituir un delito de revelación de secretos, previsto en
el artículo 197 y siguientes del Código Penal y dará derecho a la empresa a exigir al usuario una
indemnización económica.
8. Cuando se trate de personal ajeno, el contrato de prestación de servicios recogerá expresamente la
prohibición de acceder a los datos personales y la obligación de secreto respecto de aquellos datos que
hubiera podido conocer durante la prestación del servicio.
9. El personal que realice trabajos que no impliquen el tratamiento de datos personales tendrán limitado
el acceso a estos datos, a los soportes que los contengan, o a los recursos del sistema de información.
10. El usuario de los sistemas, recursos informáticos y de comunicaciones de CAM, desconectará las
sesiones de trabajo abiertas en su pantalla en el momento en que cese de utilizarlas, bien al ausentarse
de su puesto de trabajo, bien al finalizar la jornada, con objeto de evitar que una persona no autorizada
11/09/2006
Documento: dslopdcajamediterráneo.doc
Página 7 de 24
Documento de Seguridad LOPD
Gestión
Normativa
Seguridad TI
realice operaciones en la sesión abierta. En ningún momento podrá deshabilitar/modificar los controles
automáticos establecidos a tal fin.
11. El personal de la Entidad adoptará las máximas precauciones en orden a preservar la
confidencialidad de la documentación que maneje, evitando que terceros puedan acceder a la misma.
C.3.- Propiedad intelectual e industrial
12. Queda estrictamente prohibido el uso de programas informáticos sin la correspondiente licencia, así
como el uso, reproducción, cesión, transformación o comunicación pública de cualquier tipo de obra o
invención protegida por la propiedad intelectual o industrial.
C.4.- Incidencias
13. Es obligación de todo el personal de la empresa comunicar al responsable de seguridad cualquier
incidencia que se produzca respecto a la información confidencial a que tengan acceso. El proceso que
se deberá seguir es el mismo que el indicado para la gestión y resolución de incidencias sobre ficheros
que contienen información de datos de carácter personal y que se describen en el apartado F.1. del
documento.
C.5.- Protección de Datos
14. Todo empleado o usuario, que en desarrollo de su trabajo recabe datos de carácter personal de
clientes, proveedores, otros empleados o terceros en general para su incorporación a un fichero
automatizado o no automatizado, deberá informar al Departamento Arquitectura y Seguridad TI y Gestión
Normativa al objeto de recabar su autorización y estudiar junto con los miembros del Comité de LOPD de
la Entidad, las normas aplicables para la creación, declaración y mantenimiento del fichero, a las que
deberá ajustarse en todo caso.
15. Cruzar información relativa a datos de diferentes ficheros o servicios con el fin de establecer perfiles
de personalidad, hábitos de consumo o cualquier otro tipo de preferencias, sin la autorización expresa del
responsable de seguridad.
16. Cualquier otra actividad expresamente prohibida en este documento o en las normas sobre protección
de datos e Instrucciones de la Agencia Española de Protección de Datos.
17. El incumplimiento de las obligaciones descritas, sin perjuicio de las posibles responsabilidades
laborales, puede constituir un delito de revelación de secretos previstos en el Código Penal y
sancionables como tal.
C.6. Uso del correo electrónico
El sistema informático, la red corporativa y los terminales utilizados por cada usuario son propiedad de la
Caja de Ahorros del Mediterráneo.
11/09/2006
Documento: dslopdcajamediterráneo.doc
Página 8 de 24
Documento de Seguridad LOPD
Gestión
Normativa
Seguridad TI
El correo electrónico es una herramienta de trabajo que la Caja pone a disposición de la plantilla para uso
exclusivamente profesional, por lo que todos los mensajes de correo electrónico tendrán la consideración
de laborales, tanto el interno, como el externo con otras redes públicas o privadas, y especialmente
Internet. Se establecerán por tanto los controles necesarios y propios de la relación laboral
La Entidad monitorizará y revisará los archivos de Logs y auditoria del servidor, con el fin de prevenir
actividades que puedan afectar a la Caja como responsable civil subsidiario.
Cualquier fichero introducido en la red corporativa o en el puesto de trabajo a través de mensajes de
correo electrónico que provenga de redes externas, deberá cumplir los requisitos establecidos en estas
normas y en especial a las referidas a la propiedad intelectual, industrial y al control de código informático
malicioso.
Se observarán en todo momento las recomendaciones sobre el uso del correo descrito en el Cuerpo
Normativo de Seguridad de la Información.
C.7. Acceso a Internet
El uso del sistema informático para acceder a redes públicas como Internet, se limitará a temas
directamente relacionados con la actividad de la Entidad y a las funciones relacionadas con el puesto de
trabajo del usuario.
El acceso a debates en tiempo real (Chat/IRC) es especialmente peligroso, ya que facilita la instalación
de utilidades que permiten accesos al sistema no autorizados. Queda prohibido su uso.
El acceso a páginas Web, grupos de noticias, y otras fuentes de información (transferencias FTP, etc.) se
limitará a aquellos que contengan información relacionada con la actividad de la empresa o con los
cometidos del puesto de trabajo del usuario.
La Entidad podrá monitorizar cualquier sesión de acceso a Internet iniciada por un usuario desde la red
corporativa.
Cualquier fichero introducido en la red o en el puesto de trabajo desde Internet, debe cumplir los
requisitos establecidos en estas normas y en especial, las referidas a propiedad intelectual, industrial y al
control del código informático malicioso.
11/09/2006
Documento: dslopdcajamediterráneo.doc
Página 9 de 24