Política de Seguridad de FRANJALUC, S.L.

Esta Parte General de la Política de Seguridad debe ser entregada a todas las personas que tratan datos personales en la oficina de FRANJALUC, S.L., así como al personal de empresas externas que tengan acceso a datos y presten sus servicios presencialmente en las instalaciones de FRANJALUC, S.L. o mediante conexión remota.

Los usuarios deben verificar periódicamente que disponen de la versión más actualizada de este documento, según la numeración que consta al pie del mismo.


Política de Seguridad de FRANJALUC, S.L.

  1. Introducción, finalidad y alcance

Esta Política de Seguridad tiene como finalidad proteger los datos personales que se tratan en la oficina de FRANJALUC, S.L. frente a amenazas, internas o externas, deliberadas o accidentales, con el fin de garantizar la seguridad en cada una de sus dimensiones (confidencialidad, integridad, disponibilidad, autenticidad, y trazabilidad). 

Este documento, junto a los que lo complementan o desarrollan, contiene los principios, medidas y procedimientos de seguridad, técnicos y organizativos, que deben ser adoptados en la oficina de FRANJALUC, S.L.

Las medidas y procedimientos de seguridad deben cumplirse obligatoriamente por todas las personas que traten datos personales en virtud de su relación con FRANJALUC, S.L., ya sea una relación laboral, mercantil, de prácticas o cualquier otra análoga.

Su aplicación también alcanza al personal de empresas externas que tengan acceso a datos y presten sus servicios presencialmente en las instalaciones de FRANJALUC, S.L. o mediante conexión remota.


2. Tratamientos de datos a los que se aplica la Política de Seguridad

Como norma general, “dato personal” es cualquier información concerniente a personas físicas, identificadas o identificables. Por tanto, no son datos personales los datos de personas jurídicas u otras entidades análogas.

La presente Política de Seguridad se aplica a todos los tratamientos de datos personales que se realizan, ya informáticamente, ya en papel.

Las medidas de seguridad deben también cumplirse con respecto a los ficheros temporales o copias de documentos creados exclusivamente para realizar trabajos temporales. Los ficheros o documentos temporales han de ser destruidos por el usuario cuando hayan dejado de ser necesarios para los fines que motivaron su creación.


3. Identificación de perfiles de seguridad

Los perfiles de seguridad son los diferentes roles de usuario que intervienen en el sistema de información y que afectan a la seguridad. Varios perfiles de seguridad pueden coincidir en una sola persona.


    3.1 Responsable del Tratamiento

Es la persona o entidad que determina los fines y los medios del tratamiento de los datos: FRANJALUC, S.L., con CIF B85079788 y domicilio en C/ Ronda Fiscal, nº 38A, Alcalá de Henares.


    3.2 Responsable de Seguridad

Es la persona física a la que el Responsable del Tratamiento le ha encomendado la función de coordinar y controlar la aplicación y efectividad de las medidas definidas en esta Política de Seguridad. El Responsable de Seguridad es D. Francisco de Lucas García.


    3.3 Administradores del sistema

Los administradores del sistema son las personas encargadas de gestionar y mantener los sistemas informáticos, en el ámbito del hardware y del software – equipos, dispositivos, programas informáticos y aplicaciones móviles -. El administrador del sistema es D. Francisco de Lucas García.


    3.4 Encargado de las copias de seguridad

El encargado de realizar o supervisar periódicamente las copias de seguridad es D. Francisco de Lucas García.


    3.5 Usuarios

Los Usuarios son las personas que tienen acceso autorizado a los datos personales, bien en soporte informático, bien en soporte papel, directamente o de forma indirecta. El usuario del sistema es D. Francisco de Lucas García.


4.Acceso a los datos personales

    4.1 Accesos autorizados

Sólo está permitido a los usuarios acceder a datos personales o tratarlos si es necesario para el desempeño de sus funciones y sólo en la medida en que sea imprescindible para ello.


Si un usuario, para el desempeño de sus funciones, necesita acceder a datos, correos electrónicos o documentos a los que no tenga acceso permitido, solicitará una autorización previa a D. Francisco de Lucas García.


    4.2 Confidencialidad

No se comunicarán datos personales a terceros, prestando especial atención en no divulgarlos durante las conversaciones telefónicas, en correos electrónicos, etc.


Se debe impedir el acceso de personas no autorizadas a los datos personales. Se evitará dejar los datos personales expuestos a terceros (pantallas electrónicas desatendidas, documentos en papel en zonas de acceso público, soportes con datos personales, etc.), incluyendo las pantallas que se utilicen para la visualización de imágenes captadas por las cámaras de vigilancia.


La introducción de la contraseña y su representación en pantalla, en el momento de la autenticación, se efectuarán en un formato no legible (por ejemplo, oculta mediante asteriscos).

Los deberes de confidencialidad y secreto subsisten indefinidamente, aún después de terminada la relación con FRANJALUC, S.L.


     4.3 Contraseñas

El mecanismo de identificación y autenticación utilizado en el tratamiento informático de los datos personales es el de usuario y contraseña.


La generación de contraseñas se puede realizar de las siguientes maneras:

  1. Generándolas el propio usuario.
  2. Generándolas el responsable de seguridad o el administrador del sistema, quienes las comunican verbalmente y de modo confidencial a cada usuario.


Las contraseñas tendrán, al menos, 10 caracteres, incluyendo números, letras (mayúsculas y minúsculas) y símbolos.

El sistema debe bloquearse cada vez que alguien intente reiteradamente el acceso no autorizado al sistema de información. Se considera que existe un intento reiterado de acceso no autorizado cuando alguien introduzca 3 o más veces un nombre de usuario o contraseña erróneos o falsos.


Las contraseñas deben ser renovadas, al menos, una vez al año (salvo que el sistema informático lo exija con mayor frecuencia) y, además, cuando se sospeche que su confidencialidad ha sido comprometida.

Cada identificador y contraseña es confidencial, personal e intransferible y no puede ser revelado a terceros, ni siquiera a compañeros de trabajo. Dos usuarios no podrán compartir sus contraseñas para acceder de manera conjunta a los datos personales. Si la confidencialidad de una contraseña se viera comprometida, se comunicará inmediatamente a D. Francisco de Lucas García.


Se habilitarán perfiles con derechos de administración para la instalación y configuración del sistema y usuarios sin privilegios o derechos de administración para el acceso a datos.


No está permitido apuntar los identificadores y contraseñas.


Cuando un usuario se ausente del puesto de trabajo, bloqueará la pantalla o cerrará la sesión. Si el sistema no lo hace de forma automática, lo hará el usuario manualmente, pulsando a la vez las teclas CTRL / ALT / SUPR.

No está permitido utilizar los ordenadores del trabajo para fines personales. En caso de que, excepcionalmente, sea necesario, se deberá solicitar previa autorización a D. Francisco de Lucas García y habilitar perfiles de usuario distintos para cada una de las finalidades.


    4.4 Accesos en remoto

Si se crean accesos a los datos a través de redes de comunicaciones electrónicas o en remoto, se deberán cumplir las mismas medidas de seguridad que en los accesos locales.


5. Soportes informáticos y documentos

Sólo está permitido a los usuarios grabar datos personales en soportes informáticos portátiles o tratarlos en papel si ello es necesario para el desempeño de sus funciones.

    5.1 Almacenamiento 

Mientras no se esté trabajando con los documentos o soportes informáticos con datos personales, se deben guardar en estancias, cajones u otros dispositivos con llave propia o sistema equivalente, de modo que sólo las personas autorizadas puedan acceder a ellos. 


    5.2 Soportes o documentos en tramitación o revisión

Durante el tiempo en que, por estar en revisión o tramitación, los documentos o soportes con datos personales no se encuentren almacenados o archivados, la persona a su cargo los mantendrá en su poder y bajo su vigilancia, impidiendo a terceros acceder a ellos. 


    5.3 Desechado 

Cuando se desechen documentos o soportes con datos personales, deben ser previamente destruidos o borrados, debiendo resultar imposible acceder a la información o reconstruirla.


Queda prohibido depositar soportes o documentos no destruidos o borrados en la vía pública o lugares accesibles a personas no autorizadas. No deben arrojarse papeles enteros o en trozos en lugares públicos o papeleras públicas. 


    5.4 Impresión de documentos

Cuando un usuario necesite imprimir documentos con datos personales, supervisará el proceso, con el fin de impedir que personas no autorizadas puedan ver los datos mientras se realiza la impresión y retirará los documentos de la impresora, guardándolos en un lugar seguro.


    5.5 Opción de cifrado de los datos 

Se valorará la posibilidad de cifrar los datos antes de que salgan de las instalaciones de la entidad en soporte informático o sean enviados por medios telemáticos. En caso de duda, se consultará a D. Francisco de Lucas García.


6. Comunicación de violaciones de la seguridad

Una violación de la seguridad es todo quebrantamiento de la seguridad que ocasione o pueda ocasionar la destrucción, pérdida o alteración de datos personales o la comunicación o acceso no autorizado a ellos. Por ejemplo, una incidencia informática (virus, hacker, etc.) que pusiese en peligro la confidencialidad, integridad o disponibilidad de los datos personales. 


Cuando un usuario detecte una posible violación de la seguridad de los datos personales (potencial o consumada), debe comunicarlo de modo inmediato a D. Francisco de Lucas García. 


Cuando FRANJALUC, S.L. detecte una posible violación de seguridad de los datos personales (potencial o consumada) deberá proceder del siguiente modo:


Si la violación de la seguridad NO ha afectado ni puede afectar a datos personales, cumplimentará el documento que se incluye en el ANEXO I y lo archivará, dando por cerrado el incidente a efectos de protección de datos.


Si la violación de la seguridad ha afectado o puede afectar a datos personales, debe valorar si constituye o no un riesgo para los derechos y las libertades de las personas físicas:


  • Si se concluyese que la violación de la seguridad NO constituye un riesgo para los derechos y las libertades de las personas físicas, FRANJALUC, S.L. se limitará a cumplimentar y firmar el documento que se incluye en el ANEXO I y lo archivará.

  • Si se concluyese que la violación de la seguridad de los datos personales constituye un riesgo para los derechos y las libertades de las personas físicas:


    ◦ FRANJALUC, S.L. debe comunicarlo a la Agencia Española de Protección de Datos a través del link que se incluye a continuación: https://sedeagpd.gob.es/sede-electronica-web/vistas/formBrechaSeguridad/procedimientoBrechaSeguridad.jsf. La comunicación debe hacerse, a más tardar, antes de 72 horas desde que se conozca la violación de la seguridad.


    ◦ Decidirá qué medidas han de adoptarse o proponerse para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.


    ◦ Excepcionalmente, la violación de la seguridad se debe comunicar también a los interesados, sin dilación indebida, cuando sea probable que entrañe un alto riesgo para sus derechos y libertades.


    ◦ Cumplimentará y firmará el documento que se incluye en el ANEXO II, archivándolo.

 

7. Nuevas actividades de tratamiento 

Los usuarios deben consultar previamente a D. Francisco de Lucas García cuando, en el desempeño de sus funciones, necesiten realizar las siguientes actividades:


  • Tratar datos personales distintos a los que se indican en el Registro de Actividades del Tratamiento.

  • Tratar datos personales para finalidades diferentes a las que se indican en el Registro de Actividades del Tratamiento.

  • Tratar datos personales en el disco duro del propio ordenador personal del usuario, en otro dispositivo electrónico ajeno a FRANJALUC, S.L. o mediante computación en nube.

  • Instalar una nueva aplicación informática que utilice datos personales.

El personal de informática, incluidas las compañías subcontratadas de servicios informáticos, deben informar a D. Francisco de Lucas García de los cambios que realicen en el sistema informático. 


8. Uso del e-mail

Siempre ha de verificarse la legitimidad de los correos electrónicos recibidos, comprobando que el dominio electrónico del que procede es válido y conocido, y desconfiando de la descarga de ficheros adjuntos con extensiones inusuales o el establecimiento de conexiones a través de enlaces incluidos en el cuerpo del correo que presenten cualquier patrón fuera de lo normal. 


Cuando se envíe simultáneamente un e-mail a varios destinatarios, para evitar que las direcciones de correo electrónico sean visibles para los demás, se incluirán siempre en el campo “CCO” (copia carbón oculta) y nunca en el campo “Para”, ni en el campo “CC” (con copia). 


9. Copias de Seguridad

Periódicamente (preferiblemente a diario) D. Francisco de Lucas García realizará una copia de seguridad de todos los datos personales en un segundo soporte distinto del que se utiliza para el trabajo diario. 

Las copias de seguridad se deben guardar en un lugar diferente de aquél en que se encuentran los equipos informáticos con los ficheros originales.

Periódicamente, D. Francisco de Lucas García verificará el correcto funcionamiento de las copias.

10. Otras salvaguardas

Los dispositivos y ordenadores personales deberán mantenerse actualizados.


Se instalará un sistema antivirus que impida, en la medida de lo posible, el robo y destrucción de la información. El antivirus se actualizará periódicamente y, si es posible, a diario.

Para evitar accesos remotos indebidos a los datos, se instalará un cortafuegos, que permanecerá activado. 

El servidor en el que se aloja la página web debe tener instalado un certificado SSL (Secure Sockets Layer). Ello asegura la comunicación de datos personales a través de la web. 


11. Revisión de las medidas de seguridad

D. Francisco de Lucas García revisará y, en su caso, modificará las medidas de seguridad de este documento cada vez que sea necesario, por haberse producido cambios en la legislación, haber evolucionado las actividades de la entidad, imponerlo el resultado de las revisiones o haberse encontrado defectos en la aplicación de procedimientos y medidas existentes.


Además, D. Francisco de Lucas García debe revisar y, en su caso, modificar las medidas de seguridad que figuran en esta Política, al menos, una vez al año y cada vez que se produzcan cambios relevantes en el sistema de información o los recursos protegidos.


Las revisiones tienen el objeto de comprobar el cumplimiento de las medidas y procedimientos de seguridad establecidos. Los resultados de la revisión se reflejarán en un Informe escrito, para que FRANJALUC, S.L. proceda a la adopción de las medidas correctoras adecuadas. 


12. Entrega de la documentación a los usuarios

D. Francisco de Lucas García entregará a todos los usuarios la Política de Protección de Datos y la Política de Seguridad. Cada usuario firmará un recibí.



Cuando se elaboren nuevas versiones o actualizaciones, D. Francisco de Lucas García notificará su existencia a los usuarios por e-mail o por otros medios.