Performance Study of OOP with Gigascope

De acuerdo con lo dispuesto en la Ley 59/2003, de 19 de diciembre, de Firma Electrónica, esta DPC es el Documento de Seguridad a los efectos previstos en la legislación en materia de protección de datos de carácter personal.

En la elaboración de esta DPC se ha seguido la especificación RFC 3647 “Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework” del Internet Engineering Task Force (IETF), habiendo contemplado ya múltiples aspectos organizativos y de seguridad de ANF AC. No obstante, para atender todos los requerimientos exigidos por el Real Decreto 994/1999 de 11 de junio, por el que se aprueba el Reglamento de Medidas de Seguridad de los Ficheros Automatizados con Datos de Carácter Personal, y el Real Decreto 1720/2007 por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, se han incluido en esta sección aspectos que complementan todo los especificado en anteriores capítulos, y que atienden las exigencias establecidas para considerar esta DPC como Documento de Seguridad a efectos de la Ley Orgánica 15/1999.

Este Documento de Seguridad es de obligado cumplimiento para todo el personal de la entidad o personal externo que tenga acceso a los datos de carácter personal que son responsabilidad de la entidad.

Los documentos relacionados en el apartado 9.4 “Clasificación de los documentos elaborados por ANF AC”, clasificados como “no públicos” que establecen procedimientos y normas a seguir en materia de protección de datos, se han puesto en conocimiento de todo el personal con acceso a datos de carácter personal, y se incluyen en la documentación a entregar al personal en el momento de la contratación, con el objeto de dar debido cumplimiento a la legislación vigente.

10.4.1 Funciones y obligaciones del personal

Esta Declaración de Practicas de Certificación es conocida por todo el personal de ANF AC y es de obligado cumplimiento.

Se ha creado un modelo organizativo que establece las funciones asumidas por cada departamento implicado en el tratamiento y seguridad de los datos, definiendo cada uno de los responsables, concretamente:

ANF AC: es el Responsable de los Ficheros. Asume la responsabilidad legal de la seguridad de los datos

contenidos en los ficheros y notifica en su nombre toda creación de ficheros ante el Registro General de Protección de Datos.

Junta Rectora de la PKI: es el órgano que asume las funciones de Comisión de Seguridad, la cual debe

de mantener la vigencia de la DPC. Adopta e implanta las medidas de seguridad necesarias para que el personal implicado en el tratamiento de la información conozca y asuma sus responsabilidades, y tenga la capacidad necesaria para desarrollar su labor de forma adecuada. Coordina las distintas áreas operativas, tanto internas como colaboraciones externas con terceros.

Responsable de Seguridad: es el Director del Área Jurídica, asume formalmente la función de

Responsable de Seguridad. Coordina y controla las medidas de seguridad aplicables en todos sus aspectos jurídicos. Colabora con el responsable del fichero y la Comisión de seguridad en la difusión del documento de seguridad, cooperando en el cumplimiento del mismo.

Responsable Técnico de los Ficheros: es el Director del Área Técnica. Es la persona encargada de

decidir en los aspectos operativos de los Sistemas de Información, desde el punto de vista funcional de los servicios, así como del control y aplicación de medidas de seguridad informáticas.

Colabora con el responsable del fichero y la Comisión de Seguridad en la difusión del documento de seguridad, cooperando en el cumplimiento del mismo.

Responsable Administrativo de los Ficheros: es el Director del Área de Administración. Es la persona

encargada de todos los procesos administrativos que tratan con la documentación que contiene datos personales, así como de los procesos de carga de datos, y de la atención a los requerimientos que realicen los propietarios de la información. Colabora con el responsable del fichero y la Comisión de seguridad en la difusión del documento de seguridad, cooperando en el cumplimiento del mismo.

Personal de tratamiento: son las personas que, en el desarrollo de sus funciones, hacen el tratamiento

de los datos de carácter personal.

Todo el personal anteriormente reseñado está obligado a respetar las normas y procedimientos

contenidos en esta DPC es sus efectos como Documento de Seguridad, así como todas las obligaciones establecidas en la legislación vigente.

Más información en el documento OID 1.3.6.1.4.1.18332.39.10.1 “Funciones y Obligaciones del Personal”.

10.4.2 Sistemas de información que soportan el fichero

Dentro de la estructura de sistemas de información que constituye ANF AC se pueden distinguir tres subsistemas en el tratamiento de los datos. Concretamente:

• Subsistema de gestión de certificados. Recibe las actas de identificación, los certificados de petición, y se encarga de la emisión de los certificados.

• Subsistema de administración. Asume la gestión interna de la organización, proveedores, recursos humanos, clientes y facturación.

• Subsistema análisis y comprobación de la información. Se encarga verificar la identificación del solicitante, verificar la capacidad legal de representación del legal representante, y comprobar la veracidad de los atributos que se solicitan incluir en el certificado. Emite decisión de emisión o denegación de servicio.

• Subsistema de publicación. Se encarga de la publicación de las listas de revocación de certificados (CRL) y del repositorio de certificados.

Más información en el documento OID 1.3.6.1.4.1.18332.37.5.1 “Descripción de los Sistemas de Información”.

10.4.3 Copias de respaldo y recuperación

Las copias de respaldo se realizan de forma diaria en modalidad incremental, y mensualmente se realiza una copia de datos completa.

Las recuperaciones de datos se hacen con la autorización del responsable del fichero.

Si la restauración está motivada por una incidencia por ataque al sistema, el Responsable Técnico de los Ficheros, de manera previa a la restauración, deberá obtener una autorización de los propietarios de los datos.

Si la incidencia es de tipo fortuito del sistema informático, se seguirá el procedimiento de respaldo establecido en el Departamento Técnico.

Más información en el documento “Documentación técnica de los procedimientos de copias de respaldo y recuperación de datos” con OID 1.3.6.1.4.1.18332.37.3.1.

10.4.4 Control de accesos

El Responsable Administrativo y el Responsable de Ficheros, junto con el Responsable de Seguridad, determinan las personas que están autorizadas a hacer uso de los equipos de tratamiento de datos de carácter personal, siempre basándose en el principio de necesidad para la adecuada gestión de los servicios de ANF AC y en función del puesto que ocupen. Se establecerá e informará al trabajador de las funciones que debe realizar, y del modelo adecuado de llevarlas a cabo.

Exclusivamente el Responsable de Seguridad está autorizado para conceder, alterar o anular, por sí solo, el acceso autorizado sobre los datos y los recursos.

Todo el equipamiento que tiene acceso a los datos de carácter personal está considerado como de acceso restringido.

Toda la información albergada en la red corporativa de ANF AC, de forma estática o circulando en forma de mensajes de correo electrónico, o en cualquier otro tipo de soporte físico, es propiedad de la empresa y tiene por tanto carácter de confidencial.

Las personas destinadas a seguridad se encargan de determinar, implantar, gestionar, autorizar, inspeccionar o revalidar, según los casos, el conjunto de medios y medidas de seguridad, así como las normas y procedimientos que aseguren el control de acceso físico a los locales.

Más información en el documento “Control de Accesos Físicos” con OID 1.3.6.1.4.1.18332.39.2.1.

10.4.5 Utilización de datos reales en pruebas

Queda prohibida la utilización de datos personales reales para la realización de pruebas, entorno el cual se encuentra separado del entorno real.

10.4.6 Normas asociadas al documento de seguridad

ANF AC dispone de normas que permiten garantizar de forma suficiente la protección de los Datos de Carácter Personal que trata en el ejercicio de sus funciones, y así atender las obligaciones establecidas en la legislación vigente.

Dichas normas se aplican a todas las áreas de trabajo, personal, colaboradores externos y sistemas de información, independientemente de cualquiera que sea el soporte (informático, papel, video, etc.) La relación de documentos publicados por ANF AC esta detallada en el apartado 9.4 “Clasificación de los documentos elaborados por ANF AC” de este documento. ANF AC se compromete a mantenerlos en todo momento actualizados, debiendo ser revisados siempre que se produzcan cambios relevantes en el sistema de información o en la organización de la entidad. Asimismo deberá adecuarse en todo momento a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.

El personal afectado por este Documento de Seguridad conoce y debe cumplir la parte del mismo que afecta al desarrollo de sus funciones. El incumplimiento de las obligaciones y medidas de seguridad establecidas en el presente documento, por parte del personal afectado, se sancionará conforme a las sanciones disciplinarias que contemple la normativa laboral en cada momento, y a salvo de derecho de repetición de daños y perjuicios generados a la empresa tanto por lucro cesante como por daño emergente.

El Responsable de Seguridad es el encargado de mantener actualizado el Documento de Seguridad y será el encargado de comunicar las modificaciones al personal que pueda verse afectado.