Tipos de Seguridad

(1)

(2)

Índice

1.

1. Medidas

Medidas de

de Seguridad

Seguridad..

2.

2. Tipos

Tipos de

de Seguridad

Seguridad..

3.

3. Niveles

Niveles de

de Seguridad

Seguridad..

4.

4. Definición

Definición de

de Documento

Documento de

de Seguridad

Seguridad..

5.

5. Finalidad

Finalidad del

del Documento

Documento de

de Seguridad

Seguridad..

6.

(3)

Medidas de Seguridad

(4)

Medidas de Seguridad

Articulo 13 de la

Articulo 13 de la Ley de Protección de Datos Personales para el Distrito Federal Ley de Protección de Datos Personales para el Distrito Federal ::

Los entes públicos establecerán las medidas de

Los entes públicos establecerán las medidas de seguridad técnica y seguridad técnica y organorganizativaizativa parapara ggararanantitizazarr lala ccononfifidedencnciaialilidadadd ee inintteeggrraalliiddaadd ddee ccaaddaa ssiisstteemmaa ddee ddaattooss ppeerrssoonnaalleess qu

que e poposeseanan, , cocon n la la fifinanalilidadad d dede pprreesseervrvaarr eell pplleennoo eejjeerrcciicciioo ddee llooss ddeerreecchhooss tutelados

tutelados en la presente Ley, frente a su alteración, pérdida, transmisión y acceso no en la presente Ley, frente a su alteración, pérdida, transmisión y acceso no autorizado, de conformidad al tipo de datos contenidos en dichos sistemas.

autorizado, de conformidad al tipo de datos contenidos en dichos sistemas.

Dichas medidas serán adoptadas en relación con el menor o mayor grado de Dichas medidas serán adoptadas en relación con el menor o mayor grado de protección que ameriten los datos personales, deberán constar por escrito

protección que ameriten los datos personales, deberán constar por escrito y ser y ser comunicadas al Instituto para su registro.

(5)

Nume

Numeral ral 15 d15 de loe loss Lineamientos para la Protección de Datos Personales en el Distrito Lineamientos para la Protección de Datos Personales en el Distrito Federal

Federal ::

15

15. . LaLas s memedididadas s de de seseguguriridadad d apaplilicacablbles es a a lolos s sisiststememas as de de dadatotos s peperrsosonanaleless responderán a los niveles establecidos en la Ley para cada tipo de datos. Dichas responderán a los niveles establecidos en la Ley para cada tipo de datos. Dichas medidas deberán tomar en consideración las recomendaciones, que en su caso, medidas deberán tomar en consideración las recomendaciones, que en su caso, emita el Instituto para este fin, con el

emita el Instituto para este fin, con el oobbjjeettoo ddee ggararanantitizazarr lala coconfnfididenencicialalididadad,, integridad

(6)

Tipos de Seguridad

(7)

I.I. Física.-Física.- Se refiere a toda medida orientada a la protección de instalaciones, equipos, Se refiere a toda medida orientada a la protección de instalaciones, equipos, soportes o sistemas de datos para la prevención de riesgos por caso fortuito o causas de soportes o sistemas de datos para la prevención de riesgos por caso fortuito o causas de fuerza mayor;

fuerza mayor; II.

II. Lógica.-Lógica.- Se refiere a las medidas de protección que permiten la identificación y Se refiere a las medidas de protección que permiten la identificación y autentificación de las personas o usuarios autorizados para el tratamiento de los datos autentificación de las personas o usuarios autorizados para el tratamiento de los datos personales de acuerdo con su función;

personales de acuerdo con su función;

Tipos de Seguridad

(Art. 14 apartado A de la LPDPDF) (Art. 14 apartado A de la LPDPDF)

(8)

Tipos de Seguridad

III.

III. DeDe dedesasarrrrolollolo yy apaplilicacaciciononeses.-.- Corresponde a las autorizaciones con las que deberá Corresponde a las autorizaciones con las que deberá co

contntar ar la la crcreaeacición ón o o trtratatamamieiennto to de de sisissttememas as de de dadatotos s peperrsosonanaleles, s, sesegúgún n susu importancia, para garantizar el adecuado desarrollo y uso de los datos, previendo la importancia, para garantizar el adecuado desarrollo y uso de los datos, previendo la participación de usuarios, la separación de entornos, la metodología a seguir, ciclos de participación de usuarios, la separación de entornos, la metodología a seguir, ciclos de vida y gestión, así como las consideraciones especiales respecto de aplicaciones y vida y gestión, así como las consideraciones especiales respecto de aplicaciones y pruebas;

pruebas;

IV

IV.. DeDe cicifrfradado.o.-- Consiste en la implementación de algoritmos, claves, contraseñas, así Consiste en la implementación de algoritmos, claves, contraseñas, así co

como mo didispspososititivivos os ccononcrcreetotos s de de prprototececcición ón quque e gagarranantiticecen n la la ininttegegrralalididad ad yy confidencialidad de la información; y

confidencialidad de la información; y

(9)

V

V.. De comunicaciones y redes.-De comunicaciones y redes.- Se refiere a las restricciones preventivas y/o de riesgos Se refiere a las restricciones preventivas y/o de riesgos que deberán observar los usuarios de datos o sistemas de datos personales para

que deberán observar los usuarios de datos o sistemas de datos personales para acceder a dominios o cargar programas autorizados, así como para el manejo de acceder a dominios o cargar programas autorizados, así como para el manejo de telecomunicaciones.

telecomunicaciones.

(10)

Niveles de Seguridad

(11)

Niveles de Seguridad

1.

1. Básico

Básico

2.

2. Medio

Medio

3.

3. Alto

Alto

(Art. 14 apartado B de la (Art. 14 apartado B de la LPDPDF)LPDPDF)

(12)

Niveles de Seguridad

•

•_{Documento de seguridad}_{Documento de seguridad} •

•_{Funciones y Obligaciones de las}_{Funciones y Obligaciones de las}

personas que intervienen en el personas que intervienen en el tratamiento de datos personales. tratamiento de datos personales.

•

• Registro de incidencias. Registro de incidencias. •

• Identificación y autentificación. Identificación y autentificación. •

• Control de acceso. Control de acceso. •

• Gestión de Soportes. Gestión de Soportes. •

• Copias de respaldo. Copias de respaldo.

Básico

• •Responsable deResponsable de seguridad seguridad • •AuditoríaAuditoría •

•Control de Control de acceso físico.acceso físico. •

•Pruebas con datos reales.Pruebas con datos reales.

Medio

_•_•_{Distribución de soportes}_{Distribución de soportes}

•

•Registro de accesoRegistro de acceso •

•Telecomunicaciones.Telecomunicaciones. •

•Notificación del nivel deNotificación del nivel de

seguridad. seguridad.

Alto

Datos identificativos. Datos identificativos. Datos electrónicos. Datos electrónicos. Datos laborales Datos laborales Datos de tránsito y Datos de tránsito y movimientos migratorios. movimientos migratorios. Datos académicos. Datos académicos.

Datos sobre procedimientos

administrativos y/o

jurisdiccionales.

Datos

Datos patrimonialepatrimoniales.s.

Datos sobre la salud.

Datos biométricos. Datos biométricos. Datos especialmente Datos especialmente protegidos (sensibles) protegidos (sensibles)

(13)

¿Qué es el Documento

de Seguridad?

(14)

¿Qué es el Documento de Seguridad?

Documento

de Seguridad:

C

Co

on

nffo

orrm

me

e aal

l n

nu

um

meerraal

l 33,

, ffrraacccciió

ón

n V

VII,

, d

de

e llo

oss

Lineamientos para la Protección de Datos Personales Lineamientos para la Protección de Datos Personales en el Distrito Federal

en el Distrito Federal

::

“…

IIn

nssttrru

um

meen

ntto

o q

qu

ue

e eessttaab

blleecce

e llaas

s m

meed

diid

daas

s yy

procedimientos administrativos, físicos y técnicos de

sseeggu

urriid

daad

d aap

plliiccaab

bllees

s a

a llo

os

s ssiisstteem

maas

s d

de

e d

daatto

oss

personales necesarios para garantizar la protección,

con

confid

fidenc

encial

ialida

idad,

d, in

integ

tegrid

ridad

ad y

y dis

dispon

ponibi

ibilid

lidad

ad de

de los

los

datos contenidos en dichos

(15)

E

Ell rreessppoonnssaabbllee eellaabboorraarráá,, ddiiffuunnddiirráá ee iimmpplleemmeennttaarráá llaa nnoorrmmaattiivvaa ddee seguridad

seguridad mmeeddiiaannttee eell ddooccuummeennttoo ddee sseegguurriiddaadd qquuee sseerráá ddee o

obbsseervrvaanncciiaa oobbliliggaattoorriaia ppaarraa ttoododoss loloss sseerrvvididoorreess ppúúbbliliccooss ddeell eennttee público

público,, aassíí ccoommoo ppaarraa ttooddaa aaqquueellllaa persona qpersona quuee ddeebbiiddoo aa llaa p

prreessttaacciióónn ddee uunn sseerrvviicciioo tteennggaa aacccceessoo aa llooss ssiisstteemmaass ddee ddaattooss personales

personales yy//oo aall ssiittiioo ddoonnddee ssee uubbiiccaann llooss mmiissmmooss,, ttoommaannddoo eenn ccuueennttaa lloo ddiissppuueesstoto eenn llaa LLeeyy yy eenn llooss pprreesseenntteess LLiinneeaammiieenntotoss..

Documento de Seguridad

Numeral 16 ,I, a) de los Lineamientos para la Protección Numeral 16 ,I, a) de los Lineamientos para la Protección de Datos Personales en el Distrito Federal de Datos Personales en el Distrito Federal

(16)

¿

Q

u

é

d

e

b

e

r

á

c

o

n

t

e

n

e

r

e

l

D

o

c

u

m

e

n

t

o

d

e

Seguridad

?

DOCUMENTO

DOCUMENTO DE SEGURIDDE SEGURIDAD como AD como mínimomínimo deberá deberá contener:contener:

Nombre del Sistema de Datos Personales Nombre del Sistema de Datos Personales Cargo y adscripción del responsable

Cargo y adscripción del responsable Ámbito de aplicación

Ámbito de aplicación Es

Estrtrucuctuturra a y y dedescscriripcpcióión n dedel l SiSiststemema a de de DaDatotoss Personales

Personales

Especificación detallada de la categoría de datos Especificación detallada de la categoría de datos personales contenidos en el

personales contenidos en el SistemaSistema

Numeral 16 ,I, a) de Numeral 16 ,I, a) de los Lineamientos los Lineamientos

(17)

¿Qué deberá contener el

Document

o de

Seguridad ?

Funciones y obligaciones del personal que intervenga Funciones y obligaciones del personal que intervenga en el tratamiento de los sistemas de datos personales en el tratamiento de los sistemas de datos personales M

Meedididdaass, , nnoorrmmaass, , pprroocceeddiimmiieennttoos s y y ccrriitteerriiooss enfocados a garantizar el nivel de seguridad exigido enfocados a garantizar el nivel de seguridad exigido por el artículo 14 de la Ley y los Lineamientos

por el artículo 14 de la Ley y los Lineamientos

Procedimientos de notificación, gestión y respuesta Procedimientos de notificación, gestión y respuesta ante incidencias

ante incidencias Pr

Prococededimimieientntos os paparra a la la rreealalizizacacióión n de de cocopipias as dede rresespapaldldo o y y rrececupupereraacición ón de de lolos s dadattosos, , paparra a loloss sistemas de datos

sistemas de datos personales automatizadospersonales automatizados Procedimien

Procedimientos para la tos para la realizrealización de ación de auditoriasauditorias

Numeral 16 ,I, a) de Numeral 16 ,I, a) de los Lineamientos los Lineamientos

(18)

Actualización

del documento

de seguridad

Anual

Cada que se modifique

el tratamient

el tratamiento de o de loslos

datos personales

Actualización del Documento de Seguridad

Numeral 16 ,I, a) de los Lineamientos Numeral 16 ,I, a) de los Lineamientos

(19)

Finalidad del Documento

de Seguridad

(20)

Finalidad del Documento de Seguridad

Finalidad

del documento de Seguridad va dirigida a que el tratamientdel documento de Seguridad va dirigida a que el tratamiento deloso delos datos personales contenidos en el Sistema de Datos Personales sean tratados de datos personales contenidos en el Sistema de Datos Personales sean tratados de conformidad con los principios establecidos en el

conformidad con los principios establecidos en el artículo 5 de la artículo 5 de la LPDPDFLPDPDF..

Licitud

Consentimiento

Calidad de datos

Confidencialidad

Seguridad

Disponibilidad

Temporalidad

(21)

El

El priprincincipiopio dede coconfnfideidencincialialidadadd, señala que solo el interesado, el responsable, señala que solo el interesado, el responsable o el usuario pueden acceder al sistema. Su objeto es garantizar que solo se o el usuario pueden acceder al sistema. Su objeto es garantizar que solo se utilicen para los propósitos para los

utilicen para los propósitos para los que fueron obtenidos.que fueron obtenidos.

Al responsable y al usuario les impone el deber de secrecía el cual puede ceder Al responsable y al usuario les impone el deber de secrecía el cual puede ceder por :

por :



 Una Una resolución resolución judicialjudicial



 Por Por motivos de motivos de seguridad públicseguridad públicaa 

 Seguridad Seguridad nacional nacional yy



 Salud pública Salud pública

Principio de confidencialidad

Art. 5 de la LPDPDF Art. 5 de la LPDPDF

(22)

Principio de Seguridad

(Art. 5 de la LPDPDF) (Art. 5 de la LPDPDF)

El

El prprinincicipipioo dede seguridadseguridad, se refiere a garantizar que el tratamiento, se refiere a garantizar que el tratamiento de los datos personales sea llevado a cabo solo por quién está de los datos personales sea llevado a cabo solo por quién está autorizado.

autorizado. El

El dodocucumementnto o de de seseguguriridadad d es es la la heherrrramamieientnta a paparra a gagarranantitizzar ar lolo tutelado por el principio de seguridad.

(23)

Elabor

Elaboración

ación del

del

Documento de Seguridad

(24)

LOGO DEL ENTE LOGO DEL ENTE PUBLICO PUBLICO

NOMBRE DEL SISTEMA DE DATOS PERSONALES NOMBRE DEL SISTEMA DE DATOS PERSONALES (debe coincidir con el publicado en la

(debe coincidir con el publicado en la Gaceta Oficial y elGaceta Oficial y el inscrito en el Registro Electrónico de Sistemas

inscrito en el Registro Electrónico de Sistemas de Datosde Datos Personales)

Personales)

Numero de folio de registro del Sistema en el RESDP Numero de folio de registro del Sistema en el RESDP Fecha de la última actualización realizada en

Fecha de la última actualización realizada en el RESDPel RESDP Responsable de la elaboración del documento Responsable de la elaboración del documento Fecha de elaboración del documento

Fecha de elaboración del documento Fecha de la última actualización Fecha de la última actualización Aprobado por: Aprobado por: Fecha de Aprobación Fecha de Aprobación CARATULA CARATULA

(25)

N

Noo eexxiissttee uunnaa eessttrruuccttuurraa rrííggiiddaa uu oobblliiggaattoorriiaa ddeell ddooccuum

meennttoo,, ssiinn

eem

mbbaarrggoo ccoonn eell oobbjjeettiivvoo ddee ppeerrm

miittiirr uunn m

meejjoorr ccuum

mpplliim

miieennttoo ddee llaass

ddiissppoossiicciioonneess ddee llaa LLP

PD

DP

PD

DF

F yy ssuuss LLiinneeaam

miieennttooss ssee ssuuggiieerree qquuee eell

ddooccuum

meennttoo eenn eell qquuee ccoonnssttaann llaass m

meeddiiddaass ddee sseegguurriiddaadd sseeaa

eessttrruuccttuurraaddoo ddee aaccuueerrddoo aa lloo sseeññaallaaddoo eenn eell nnuum

meerraall 1166 ddee llooss

LLiinneeaam

miieennttooss ppaarraa llaa P

Prrootteecccciióónn ddee D

Daattooss P

Peerrssoonnaalleess eenn eell D

Diissttrriittoo

F

Fed

edeera

rall (L

(Lin

inea

eam

mie

ient

ntoos)

s),, m

mis

ismo

mo qu

quee se

seññal

alaa lo

loss eele

leme

ment

ntooss m

mín

íniimo

moss qu

quee

de

debe

be co

cont

nten

ener

er el

el do

docu

cume

ment

ntoo de

de se

segu

guri

riddad

ad..

Estructura del documento de seguridad

(26)

GUIA DE CONTENIDO

Logo del Ente Logo del Ente

Público Público

ENTE PUBLICO

(REFERENCIA)

(REFERENCIA) GUIA DE CONTENIDOGUIA DE CONTENIDO VERSIONVERSION EELLAABBOORRAADDO O PPOOR R FFEECCHHA A AAPPRROOBBAADDO O PPOOR R FFEECCHHAA

0

0 GGuuíía a ddeel l ccoonntteenniiddoo 11 _{Introducción}_{Introducción}

22 Identificación Identificación del del responsableresponsable 33 Ambito Ambito de de aplicaciónaplicación 4

4 EstEstrucructurtura a y y desdescricripcipción ón del del sissistemtema a de de datdatos os perpersonsonalealess 5

5 CatCategoegoríría a de de datdatos os perpersonsonaleales s concontentenidoidos s en en el el sissistemtemaa 66 Funciones Funciones y _{tratamiento de los sistemas de}_{tratamiento de los sistemas de datos personales}y obligaciones obligaciones del del personal personal que _{datos personales}que intervenga intervenga en en elel 7

7 MedMedidaidas s y y NoNormarmas s parpara a gargarantantizaizar r el el nivnivel el de de segseguriuridaddad 8

8 ProProcedcedimiimiententos os y y cricriterterioios s parpara a gargarantantizizar ar el el nivnivel el de de segsegururidaidadd 99 ProcedimientoProcedimientos s de de notificacion, notificacion, gestion gestion y y respuesta respuesta anteante

incidencias incidencias

10 10

Procedimiento

Procedimientos para la s para la realización de copias de respaldo yrealización de copias de respaldo y recuperación de los datos, para los sistemas de datos recuperación de los datos, para los sistemas de datos personales automatizados

personales automatizados 11

(27)

INTRODUCCIÓN

Público Público

ENTE PUBLICO

(REFERENCIA)

(REFERENCIA) INTRODUCCIONINTRODUCCION VERSIONVERSION EELLAABBOORRAADDO O P OP OR R FFEECCHHA A AAPPRROOBBA DA DO O PPOOR R FFEECCHHAA

(28)

I.

I. NoNombmbrere dedell sisiststemema;a; II.

II. CaCargrgoo yy adadscscriripcpcióiónn dedell rerespspononsasablble;e; III.

III. Ámbito Ámbito dede aplicación;aplicación; IV

IV.. EsEstrtrucuctuturara yy dedescscriripcpcióiónn dedell sisiststememaa dede dadatotoss pepersrsononalaleses;; V

V.. EsEspepecicifificacaciciónón dedetatalllladadaa dede lala cacatetegogoríríaa dede dadatotoss pepersrsononalaleses cocontntenenididosos enen elel sisiststemema;a; VI.

VI. FuFuncncioioneness yy ooblbligigacacioionneses dedell pepersrsoonanall ququee inintetervrveengngaa eenn eell trtratataamimienentoto dede loloss sisiststeemamass de

de dadatotoss pepersorsonanaleles;s; VII.

VII. Meeddiiddaass,, nnoorrmM maass,, pprroocceeddiimmiieennttooss yy ccrriitteerriiooss eennffooccaaddooss aa ggaarraannttiizzaarr eell nniivveell ddee se

seguguriridadadd exexigigididoo pporor elel arartítícuculolo 1414 dede lala LeLeyy yy loloss ppreresesenntetess LiLineneamamieienntotos;s; VIII.

VIII. PrPrococededimiimienentotoss dede nonotitificficacacióión,n, gegeststióiónn yy rerespspueueststaa anantete inincidcidenenciacias;s; IX.

IX. PrPrococededimimieientntooss ppararaa lala rereaalilizazaciciónón dede cocoppiaiass dede rerespspalalddoo yy rerecucupeperaraciciónón ddee loloss dadattosos,, pa

parara loloss sisiststememasas dede dadatotoss pepersrsononalaleses auautotomamatitizazadodos;s; yy X.

X. PrPrococededimimieientntosos paparara lala rerealalizizacacióiónn dede auaudiditotoríríasas,, enen susu cacasoso..

Estructura propuesta:

(29)

CARGO Y ADSCRIPCIÓN DEL

RESPONSABLE

Público Público

ENTE PUBLICO

(REFERENCIA)

(REFERENCIA) IDENTIFICACIÓN DEL RESPONSABLEIDENTIFICACIÓN DEL RESPONSABLE DE SEGURIDAD

DE SEGURIDAD VERSIONVERSION

EELLAABBOORRAADDO O PPOOR R FFEECCHHA A AAPPRROOBBAADDO O PPOOR R FFEECCHHAA

FUNCION: FUNCION: NOMBRE Y APELLIDOS: NOMBRE Y APELLIDOS: CATEGORÍA: CATEGORÍA: DIVISIÓN O

DIVISIÓN O DEPARTAMENTO:DEPARTAMENTO: DIRECCIÓN: DIRECCIÓN: TELEFONO: TELEFONO: CORREO ELECTRONICO: CORREO ELECTRONICO:

(30)

AMBITO DE APLICACIÓN

Público Público

ENTE PUBLICO

(REFERENCIA)

(REFERENCIA) AMBITO DE APLICACIÓNAMBITO DE APLICACIÓN VERSIONVERSION EELLAABBOORRAADDO O PPOOR R FFEECCHHA A AAPPRROOBBAADDO O PPOOR R FFEECCHHAA

Las medidas de seguridad regogidas en el presente Documento de Seguridad son de

(31)

ESTRUCTURA Y DESCRIPCIÓN DEL

SISTEMA DE DATOS PERSONALES

Público Público

ENTE PUBLICO

(REFERENCIA)

(REFERENCIA) ESTRUCTURA Y DESCRIPCION DELESTRUCTURA Y DESCRIPCION DEL SISTEMA DE DATOS PERSONALES

SISTEMA DE DATOS PERSONALES VERSION VERSION

EELLAABBOORRAADDO O PPOOR R FFEECCHHA A AAPPRROOBBAADDO O PPOOR F ER F ECCHHAA

DATOS DEL SISTEMA: DATOS DEL SISTEMA:

UNIDAD ADMINISTRATIVA RESPONSABLE: UNIDAD ADMINISTRATIVA RESPONSABLE: ENCARGADOS: ENCARGADOS: USUARIOS: USUARIOS: ORIGEN: ORIGEN: DESTINO: DESTINO: INTERRELACION: INTERRELACION: TIEMPO DE

TIEMPO DE CONSERVACIONCONSERVACION:: NORMATIVIDAD APLICABLE: NORMATIVIDAD APLICABLE:

Público Público

ENTE PUBLICO

(REFERENCIA)

(REFERENCIA) ESTRUCTURA Y DESCRIPCION DELESTRUCTURA Y DESCRIPCION DEL SISTEMA DE DATOS PERSONALES

SISTEMA DE DATOS PERSONALES VERSION VERSION

EELLA BA BOORRAADDO O PPOOR R FFEECCHHA A AAPPRROOBBA DA DO O PPOOR FR FEECCHHAA

ORGIEN DE LOS DATOS ORGIEN DE LOS DATOS CESION DE DATOS: CESION DE DATOS:

UNIDAD ADMINISTRATIVA RESPONSABLE: UNIDAD ADMINISTRATIVA RESPONSABLE: NIVEL DE SEGURIDAD:

(32)

ESPECIFICACION DETALLADA DE LA CATEGORIA DE

DATOS PERSONALES CONTENIDOS EN EL SISTEMA DE

DA

DATOS TOS PERSONALESPERSONALES

Público Público ENTE PUBLICO ENTE PUBLICO (REFERENCIA) (REFERENCIA) CATEGORIA DE DATOS CATEGORIA DE DATOS PERSONALES CONTENIDOS EN EL PERSONALES CONTENIDOS EN EL

SISTEMA DE DATOS PERSONALES

VERSION VERSION

(33)

FUNCIONES Y OBLIGACIONES DEL PERSONAL QUE

INTERVENGA EN EL TRATAMIENTO DE LOS SISTEMAS DE

DA

DATOS TOS PRESONALESPRESONALES

Logo del Logo del Ente Ente Público Público ENTE PUBLICO ENTE PUBLICO (REFERENCIA)

(REFERENCIA) _{RESPONSABLE DEL SISTEMA}_{RESPONSABLE DEL SISTEMA}ATRIBUCIONES DELATRIBUCIONES DEL VERSION VERSION EL

ELABABORORADADO O POPOR R FEFECHCHA A APAPROROBABADO DO POPOR R FEFECHCHAA

ATRIBUCIONES DEL

RESPONSABLE

RESPONSABLE DEDESEGURIDADSEGURIDAD

ATRIBU

ATRIBUCIONECIONES S DEDELOSLOS

USUARIOS

ATRIBUCIONES

ATRIBUCIONES DE---DE---todostodos

aquellos que tengan acceso al

sistema de datos personales

(34)

MEDIDAS

MEDIDAS Y Y NORMAS PNORMAS PARA ARA GARANTIZAR ELGARANTIZAR EL

NIVEL DE

NIVEL DE SEGURIDADSEGURIDAD

Público Público ENTE PUBLICO ENTE PUBLICO (REFERENCIA) (REFERENCIA)

MEDIDAS Y NORMAS PARA

GARANTIZAR EL NIVEL DE GARANTIZAR EL NIVEL DE SEGURIDAD SEGURIDAD VERSION VERSION EEL AL ABBOORRAADDO O PPOOR R FFEECCHHA A A PA PRROOBBAADDO O PPOOR FR FEECCHHAA

(35)

PROCEDIMIENTOS Y CRITERIOS PARA GARANTIZAR EL

NIVEL DE

NIVEL DE SEGURIDADSEGURIDAD

Público Público ENTE PUBLICO ENTE PUBLICO (REFERENCIA) (REFERENCIA) PROCEDIMIENTO PARA PROCEDIMIENTO PARA GARANTIZAR EL NIVEL DE GARANTIZAR EL NIVEL DE SEGURIDAD SEGURIDAD VERSION VERSION EELLAABBOORRAADDO O PPOOR R FFEECCHHAA APROBADOAPROBADO

POR

(36)

NIVEL BÁSICO

Se entenderá como tal, el relativo a las medidas

g

ge

en

ne

er

ra

al

le

es

s

de

d

e

s

se

eg

gu

ur

ri

id

da

ad

d

c

cu

uy

ya

a

ap

pl

li

ic

ca

ac

ci

ió

ón

n

e

es

s

ob

obli

liga

gato

tori

ria

a

pa

para

ra

to

todo

dos

s

los

lo

s

si

sis

ste

tema

mas

s

de

da

dat

tos

os

personales.

Dichas

medidas

corresponden

a

los

NIVEL BÁSICO

(38)

Como ya se indicó, de conformidad con el artíc

Como ya se indicó, de conformidad con el artículo 2 de la LPDPDF un Sistema ulo 2 de la LPDPDF un Sistema dede

Datos Personales es “todo conjunto organizado de archivos, registros, ficheros,

Datos Personales es “todo conjunto organizado de archivos, registros, ficheros, basesbases

o banco de datos personales de los entes públicos,

o banco de datos personales de los entes públicos, cualquiera que sea la forma ocualquiera que sea la forma o

modalidad de su creación, almacenamiento, organización y acceso”; modalidad de su creación, almacenamiento, organización y acceso”;

Al asignar nombre al sistema es importante que éste guard

Al asignar nombre al sistema es importante que éste guarde relación con la finalidade relación con la finalidad del sistema, considerando como finalidad del sistema el

del sistema, considerando como finalidad del sistema el motivo de creación del mismo.motivo de creación del mismo. Además, el nombre debe coincidir con el nombre de

Además, el nombre debe coincidir con el nombre del sistema con el que fue publicadol sistema con el que fue publicado en la Gaceta Oficial del Distrito Federal o,

en la Gaceta Oficial del Distrito Federal o, en su caso, con el en su caso, con el nombre con el que fuenombre con el que fue inscrito en el Registro Electrónico de Sistemas

inscrito en el Registro Electrónico de Sistemas de Datos Personales (RESDP).de Datos Personales (RESDP). (Ejemplo: SISTEMA DE DAT

(Ejemplo: SISTEMA DE DATOS PERSONALES OS PERSONALES DE LOS RECURSOS DE LOS RECURSOS HUMANOSHUMANOS DEL INSTITUTO DE ACCESO A LA INFORMACIÓN PÚBLICA DEL DISTRITO DEL INSTITUTO DE ACCESO A LA INFORMACIÓN PÚBLICA DEL DISTRITO FEDERAL)

FEDERAL)

I. Nombre del sistema:

Nivel básico

(39)

De conformidad con lo señalado en el artículo 2 de la LPDPDF el responsable del Sistema de De conformidad con lo señalado en el artículo 2 de la LPDPDF el responsable del Sistema de Datos Personales es la

Datos Personales es la Persona física que decida sobre la protección y tratamiento de datosPersona física que decida sobre la protección y tratamiento de datos personales, así como el contenido

personales, así como el contenido y finalidad de los mismosy finalidad de los mismos, es decir, el responsable decide la, es decir, el responsable decide la finalidad, contenido y uso del sistema y no es la persona que los trata o

finalidad, contenido y uso del sistema y no es la persona que los trata o maneja. Además, elmaneja. Además, el titular de la unidad administrativa que tiene bajo la guarda y custodia material de los

titular de la unidad administrativa que tiene bajo la guarda y custodia material de los documentos.

documentos.

El cargo y área de adscripción del responsable es el mismo c

El cargo y área de adscripción del responsable es el mismo con el que fue publicado en laon el que fue publicado en la GODF y/o el que fue inscrito en el RESDP.

GODF y/o el que fue inscrito en el RESDP.

Es importante que el responsable tenga el nivel jerárquico adecuado para emitir actos de Es importante que el responsable tenga el nivel jerárquico adecuado para emitir actos de

autoridad, pues de acuerdo a lo establecido en el artículo 32 de la LPDPDF es el responsable autoridad, pues de acuerdo a lo establecido en el artículo 32 de la LPDPDF es el responsable quien debe atender las solicitudes de acceso,

quien debe atender las solicitudes de acceso, rectificación, cancelación y oposición de datosrectificación, cancelación y oposición de datos personales (solicitudes ARCO).

personales (solicitudes ARCO).

(Ejemplo: Nombre ______ (Ejemplo: Nombre ______

Cargo del responsable: Directora

Cargo del responsable: Directora de Administración y Finanzasde Administración y Finanzas Adscripción del responsable: Dirección d

Adscripción del responsable: Dirección de Ae Administración y Finanzas.)dministración y Finanzas.)

II. Nombre, cargo y adscripción del responsable

Nivel básico

(40)

En este rubro debe especificarse a qué sistema o sistemas de datos

En este rubro debe especificarse a qué sistema o sistemas de datos personales sepersonales se aplicarán las medidas de seguridad contenidas en el documento, (recordemos que se aplicarán las medidas de seguridad contenidas en el documento, (recordemos que se puede realizar un documento de seguridad por cada sistema o uno para un grupo de puede realizar un documento de seguridad por cada sistema o uno para un grupo de sistemas que se encuentren bajo el resguardo de un sólo responsable y a los cuales se sistemas que se encuentren bajo el resguardo de un sólo responsable y a los cuales se aplique el mismo nivel de protección)

aplique el mismo nivel de protección)

Señalando el tipo de sistema o sistemas de datos Personales que contiene Señalando el tipo de sistema o sistemas de datos Personales que contiene (Automatizados y/o manuales) y el nivel de seguridad (básico medio o alto). (Automatizados y/o manuales) y el nivel de seguridad (básico medio o alto). Y debe abarcar las siguientes áreas:

Y debe abarcar las siguientes áreas: Espacial:

Espacial: TTodas las odas las áreas del Ente áreas del Ente Público donde se encuentran Público donde se encuentran física ofísica o informáticamente los sistemas.

informáticamente los sistemas. Personal:

Personal: Los funcionarios que tienen acceso a los sistemas.Los funcionarios que tienen acceso a los sistemas. De

De contenidoscontenidos:: Bases de datos, soportes, programas, Bases de datos, soportes, programas, aplicaciones, redes,aplicaciones, redes,

computadoras con acceso etc. computadoras con acceso etc.

III. Ámbito de aplicación:

Nivel básico

(41)

LLaa eessttrruuccttuurraa ddeell ssiisstteem

maa ddee ddaattooss ppeerrssoonnaalleess ddeebbee iinncclluuiirr uunnaa

ddeessccrriippcciióónn pprreecciissaa ddee llaass ccaarraacctteerrííssttiiccaass ddeell ssiisstteem

maa ddee ddaattooss

ppeerrssoonnaalleess,, eennttrree llooss aassppeeccttooss qquuee ssee rreeccoom

miieennddaa iinncclluuiirr ssee

en

encu

cuen

entr

tran

an lo

loss si

sigu

guie

ient

ntes

es::

IV. Estructura, descripción del sistema de datos personales

••FiFi nanallidaidad y d y usus o previso previs ttoo

••NorNor mamativtiviidadad ad aplicplicaableble

•• OrOrigig en den de le los os dadatotoss

••PProcrocedimiento edimiento de de obtobtencienciónón datos

datos

Se recomienda agregar como un anexo los formatos utilizados para la Se recomienda agregar como un anexo los formatos utilizados para la recolección de los datos personales.

recolección de los datos personales.

P

Publublicicaacición deón de

C

Creareacición en Gón en Gaacetcetaa

Ofic Oficiaial dl del el DiDissttririttoo Federal Federal

Nivel básico

(42)

S

Seeññaallaarr eell ttiippoo ddee ddaattooss qquuee ccoonnttiieennee eell ssiisstteem

maa yy ddiivviiddiirrllooss ddee

ccoonnffoorrm

miiddaadd ccoonn ssuu ccat

ateeggoorrííaa yy llooss ttiippooss ddee ddaattooss..

C

Caatteeggoorrííaass:: D

Dee ccoonnffoorrm

miiddaadd ccoonn eell nnuum

meerraall 55 ddee llooss LLiinneeaam

miieennttooss llaass

ccaatteeggoorrííaass ssoonn iiddeennttiiffiiccaattiivvooss,, eelleeccttrróónniiccooss llaabboorraalleess,, ppaattrriim

moonniiaallees,

s,

aaccaaddéém

miiccooss,, ddee ttrráánnssiittoo yy m

moovviim

miieennttooss m

miiggrraattoorriiooss,, ssoobbrree llaa ssaalluudd,,

bbiioom

mééttrriiccooss,, eessppeecciiaallm

meennttee pprrootteeggiiddooss yy ppeerrssoonnaalleess ddee nnaattuurraalleezzaa

ppúúbblliiccaa.. R

Reeccoorrddaarr qquuee eessttaass ccaatteeggoorrííaass yy llooss ddaattooss ccoonntteenniiddooss eenn eellllaass

ssoonn eennuunncciiaattiivvaass yy nnoo lliim

miittaattiivvaass,, ppoorr lloo qquuee eenn ccaassoo ddee ddeetteeccttaarr aallggúúnn

ddaattoo ppeerrssoonnaall qquuee nnoo eessttéé eennlliissttaaddoo eenn nniinngguunnaa ddee llaass sseeññaallaaddaass,,

ddeebbeerráá eessppeecciiffiiccaarrlloo,, rreeccoorrddaarr qquuee eenn eell ccaassoo ddee llooss ddaattooss ffaaccuullttaattiivvooss,,

aall m

moom

meennttoo ddee rreeccaabbaarrllooss ssee ddeebbee sseeññaallaarr ccllaarraam

meennttee ccuuáálleess ssoonn

fa

facu

cultltat

ativ

ivos

os yy cu

cuál

áles

es ob

obliliga

gato

tori

rios

os..

V. Especificación detallada de la categoría de datos

personales contenidos en el sistema

Nivel básico

(43)

Por lo que el Ente Público debe:



Detectar los datos personales,



Determinar a qué categoría pertenecen,



Hacer un listado



E

Enn ccaassoo ddee nnoo eennccoonnttrraarrssee eenn llaa lliissttaa bbuussccaarr eell ttiippoo eenn eell qquuee

en

encu

cuad

adra

rann yy



E

Enn ccaassoo ddee nnoo ddeetteeccttaarr aa qquuee ccaatteeggoorrííaa ppeerrtteenneecceenn,, ddeebbee

señalarlo.

Una vez establecido lo anterior, debe señalar cuáles datos son

obligatorios y cuáles facultativos.

V. Especificación detallada de la categoría de datos

personales contenidos en el sistema

Nivel básico

(44)

En el caso de que los

En el caso de que los datos sean facultativos, debe especificarlo también en eldatos sean facultativos, debe especificarlo también en el formato mediante el cual recabó la información.

formato mediante el cual recabó la información. Ejemplo:

Ejemplo:

E

E ss tructura tructura bábáss icica a dedel sl sisis ttemema a de dde daatotos s pepersrs onaonalleses.. D

Daattos os esespepeciciaalmlmentente protee protegg idosidos :: Información médica, huellas digitales y tipoInformación médica, huellas digitales y tipo

de sangre. de sangre.

Datos identificativos:

Datos identificativos: nombre, Clave del nombre, Clave del Registro Federal de ContribuyentesRegistro Federal de Contribuyentes

(RFC), Clave Única de Registro de Población (CURP), domicilio,

(RFC), Clave Única de Registro de Población (CURP), domicilio, edad, estadoedad, estado civil, fecha de nacimiento, matrícula

civil, fecha de nacimiento, matrícula de servicio militar nacional (si aplica),de servicio militar nacional (si aplica), nacionalidad, nombre de familiares dependientes y beneficiarios, número de nacionalidad, nombre de familiares dependientes y beneficiarios, número de pasaporte (si aplica

pasaporte (si aplica), teléfono celular), teléfono celular, teléfono particular , teléfono particular

V. Especificación detallada de la categoría de datos

personales contenidos en el sistema

Nivel básico

(45)

Dat

Datosos lalaboraboralleses:: hohojaja dede seservrvicicioio,, inincicidedencnciaia,, nonombmbraramimienentoto,, sosolilicicitutudd dede ememplpleoeo.. Dat

Datosos papattririmmoniaonialleses:: cuecuentantass banbancarcarias,ias, infinformormaciaciónón fiscfiscal.al. Da

Dattooss ss oobbrere llaa ss aalludud:: incapaincapacidadcidadeses médimédicas.cas. Da

Dattosos biobiommééttricosricos :: huehuellasllas digdigitaitales.les. Modo

Modo dede tratatratamientomiento utiliutilizado:zado: fífísicsicoo yy auautotomamatiztizadado.o. Da

Dattosos idideentntificaificattivoivoss ddee cacaráráctcteerr oboblligig aattorioorio:: nnoommbbrree,, CCllaavvee ddeell rreeggiissttrroo FFeeddeerraall ddee

co

connttrriibbuuyyeenntteess (R(RFFCC)),, CCllaavvee ÚÚnniiccaa ddee RReeggisisttrroo ddee PPoobblalaccióiónn ((CCUURRPP),), ddomomiciciilliioo,, eeddaadd,, eessttaaddoo cciivviill,, ffeecchhaa ddee nnaacciimmiieennttoo,, mmaattrrííccuullaa ddee sseerrvviicciioo mmiilliittaarr nnaacciioonnaall ((ssii aapplliiccaa)),, na

naciciononaallididadad,, nonommbrbree ddee fafammililiaiarreses dedepependndieienntetess yy bbenenefeficiciaiaririoos,s, núnúmmereroo ddee papasasapoportrtee ((ssii aapplliiccaa)),, tteellééffoonnoo cceelluullaarr,, tteellééffoonnoo ppaarrttiiccuullaarr,, hhoojjaa ddee sseerrvviicciioo,, iinncciiddeenncciiaa,, no

nombmbraramimienento,to, solsolicicititudud dede ememplpleoeo,, cucuenentatass babancncarariaias,s, ininfoformrmacacióiónn fifiscascal,l, inincacapapacicidadadedess méd

médicasicas,, huehuellallass digdigitaitalesles..

Dat

Datosos dede cacaráráctecterr fafaculculttaattivo:ivo: didirereccicciónón dede cocorrrreoeo elelecectrtrónónicico.o.

V

V.. EEssppeecciiffiiccaacciióónn ddeettaallllaaddaa ddee llaa ccaatteeggoorrííaa ddee ddaattooss ppeerrssoonnaalleess co

contntenenididosos enen elel sisiststememaa

Nivel básico

(46)

Nivel de

seguridad

Aspectos a incluir

Básico

a)

a) Fu

Func

ncio

ione

nes

s y

y ob

obliliggac

acio

ione

nes

s de

del l re

resp

spon

onsa

sabl

ble,

e,

encargado y de toda persona que intervenga

en el tratamiento de los sistemas de datos

personales

Medio

b)

b) Responsable

Responsable de

de seguridad

seguridad

Los elementos a incluir en

Los elementos a incluir en esta sección del documento que haga constar esta sección del documento que haga constar las medidaslas medidas de seguridad, dependerán del nivel de seguridad que l

de seguridad, dependerán del nivel de seguridad que les resulte aplicable, de acuerdo aes resulte aplicable, de acuerdo a lo establecido en el artículo

lo establecido en el artículo 14 de la LPDPDF y el numeral 14 de la LPDPDF y el numeral 16 de los Lineamientos.16 de los Lineamientos.

VI. Funciones y obligaciones del personal que intervenga

en el tratamiento de los sistemas de datos personales.

(47)

VI. Funciones y obligaciones del personal que intervenga

en el tratamiento de los sistemas de datos personales.

a) Las funciones y

a) Las funciones y las obligaciones de todos los que intervienen en las obligaciones de todos los que intervienen en el tratamientel tratamiento de datos personaleso de datos personales deben estar claramente definidas en el documento de seguridad o como se señaló, preferentemente de deben estar claramente definidas en el documento de seguridad o como se señaló, preferentemente de manera anexa para facilitar la modificación de las mismas, sin que sea obligación publicarlas en la GODF, manera anexa para facilitar la modificación de las mismas, sin que sea obligación publicarlas en la GODF, sin embargo, también es pertinente señalar que, en caso de que el documento contenga las funciones sin embargo, también es pertinente señalar que, en caso de que el documento contenga las funciones de manera anexa, y se realicen modificaciones, se deben

de manera anexa, y se realicen modificaciones, se deben conservar ambos anexconservar ambos anexos, (el inicial y os, (el inicial y loslos documentos que contengan las diversas modificaciones).

documentos que contengan las diversas modificaciones).

Las funciones deben ser congruentes con el Reglamento interior y/o con el manual de organización del Las funciones deben ser congruentes con el Reglamento interior y/o con el manual de organización del Ente Público o

Ente Público o normatividad que resulte aplicable.normatividad que resulte aplicable. El responsable del sistema debe asegurarse de que el

El responsable del sistema debe asegurarse de que el personal con acceso físico o automatizadopersonal con acceso físico o automatizado conozca:

conozca:

las normas de seguridad que deben observarse; las normas de seguridad que deben observarse; sus atribuciones respecto a los

sus atribuciones respecto a los sistemas de datos personales;sistemas de datos personales; las responsabilidades que tienen;

las responsabilidades que tienen; las consecuencias en caso de

(48)

••

Recomendaciones



 La infLa información de ormación de este apeste apartado puede artado puede desarrollardesarrollarse o medise o mediante uno ante uno o varioso varios aanneexxooss, , sseeññaallaannddo o dde e mmaanneerra a ccllaarra a y y eessppeeccííffiiccaa, , ffaaccuullttaaddees s yy rresespoponsnsababililididadeades s de de cacada da ununa a de de lalas s peperrsosonanas s quque e titienenen en acacceceso so a a lala totalidad o una parte del sistema. Se debe considerar también a la gente que totalidad o una parte del sistema. Se debe considerar también a la gente que realiza limpieza y/o mantenimiento.

realiza limpieza y/o mantenimiento. 

 Es posible que Es posible que el Ente el Ente Público transfiera Público transfiera o intero intercambie información parcambie información para dara dar cumplimiento a la finalidad del sistema de datos personales, lo anterior debe cumplimiento a la finalidad del sistema de datos personales, lo anterior debe estar PLENAMENTE justificado.

estar PLENAMENTE justificado. 

 Se Se recomienda establecer recomienda establecer clausulaclausulas s tipo para tipo para los contrlos contratos a atos a realizar con realizar con loslos usuarios, personal contratado por honorarios, etc. e incluirlas como anexo del usuarios, personal contratado por honorarios, etc. e incluirlas como anexo del documento.

(49)

NIVEL MEDIO

El

El ninivvel el de de seseguguririddad ad memedidio o ees s apapliliccabable le a a lolos s sisisstteemamas s de de dadattosos personales relativ

personales relativos os a:a:



 La comisión La comisión de infrde infracciones administracciones administrativas o ativas o penales,penales,



 Hacienda pública, Hacienda pública,



 Servicios financieros, Servicios financieros,



 Datos patrimoniales, Datos patrimoniales,



 Datos que permitan obtener una evaluación de la personalidad del Datos que permitan obtener una evaluación de la personalidad del individuo.

individuo.

NIVEL MEDIO

(50)

b) Responsable de

seguridad

El

El rerespspononsasablblee dedell sisiststememaa designa uno o varios responsables de seguridad designa uno o varios responsables de seguridad para uno o todos los sistemas de datos en posesión del ente público. Lo que para uno o todos los sistemas de datos en posesión del ente público. Lo que depende de los

depende de los métodos de organización y tratamientmétodos de organización y tratamiento o de los sistemas.de los sistemas.

No

Notta: a: La La dedesisigngnacacióión n no no susupopone ne la la dedeleleggacacióión n de de lalas s ffacacululttadades es y y atatriribubucicionones es ququee correspo

corresponden al nden al responsable del sistema de datos personales.responsable del sistema de datos personales.

Numeral 16, II. A) de los

Numeral 16, II. A) de los LineamientosLineamientos

Nivel medio

(51)

Puede haber un responsable de seguridad física y otro de electrónica. Puede haber un responsable de seguridad física y otro de electrónica.

Los cuales deben ser Directores de Área o en caso de que los sistemas se

enc

encuenuentrtren en en en didiffererenentetes s UnUnidaidadedes s AdAdmiminisnistrtratativivas as pupuede ede rerecacaer er enen Subdirectores

Subdirectores

Nivel medio

b) Responsable de

(52)

El responsable de seguridad del sistema debe coordinar y

ccon

onttrro

ollaar

r llaas

s m

meed

diid

das

as d

deeffiini

nida

das

s een

n eel l d

doc

ocu

um

men

entto

o d

dee

seguridad.

Nivel medio

b) Responsable de

(53)

Nivel de

seguridad

Aspectos a incluir

Básico

a)

a) Mecanismos

Mecanismos de

de identificación

identificación y

y autenticación;

autenticación;

b)

b) Mecanismos de con

Mecanismos de control de acceso;

trol de acceso;

Medio

c)

c) Mecan

Mecanismos

ismos de

de con

control

trol de

de acces

acceso

o físi

físico

co

Alto

d) Regis

d) Registros

tros de

de acceso

acceso;;

e)

e) TTelec

elecomunic

omunicacione

aciones.

s.

VI VII.I. MeMedididadass,, nonormrmasas,, prprococededimimieientntosos yy ccririttererioioss enenffococaadodoss aa gagararantntizizar ar e ell nniivveell ddee sseegguurriiddaadd eexxiiggiiddoo ppoorr eell aarrttííccuulloo 1144 ddee llaa lleeyy ddee p prrootteecccciióónn ddee ddaattooss ppeerrssoonnaalleess ppaarraa eell ddiissttrriittoo ffeeddeerraall yy llooss lineamientos; lineamientos;

Los elementos a incluir en

Los elementos a incluir en esta sección del documento que haga constar esta sección del documento que haga constar las medidaslas medidas de seguridad, dependerán del nivel de seguridad que l

de seguridad, dependerán del nivel de seguridad que les resulte aplicable, de acuerdo aes resulte aplicable, de acuerdo a lo establecido en el artículo

(54)

Nivel básico

a)

Id

en

ti

fi

ca

ci

ón

y

au

te

nt

if

ic

ac

ió

n

E

Ell re

resp

spon

onssab

able

le ddee se

segu

guri

rida

dadd de

dell si

sist

stem

emaa de

debe

be::



El

Elaabo

bora

rarr uuna

na re

rellaaci

ción

ón de

de se

serrvi

vido

dore

ress pú

púbblilico

coss co

conn ac

accces

esoo aaut

utoori

riza

zado

do al

al

sistema



E

Essttaabblleecceerr pprroocceeddiim

miieennttooss qquuee ppeerrm

miittaann llaa ccoorrrreeccttaa iiddeennttiiffiiccaacciióónn y

y

au

aute

tent

ntic

icac

ació

iónn pa

para

ra el

el ac

acce

ceso

so..



E

Essttaabblleecceerr uunn m

meeccaanniissm

moo qquuee ppeerrm

miittaa llaa iiddeennttiiffiiccaacciióónn,, llaass ppeerrssoonnaass

qquuee iinntteenntteenn aacccceeddeerr aall ssiisstteem

maa ddee ddaattooss ppeerrssoonnaalleess yy vveerriiffiiccaarr qquuee

est

(55)

NIVEL BÁSICO

a)

Id

en

ti

fi

ca

ci

ón

y

au

te

nt

if

ic

ac

ió

n

El responsable de seguridad del sistema debe: El responsable de seguridad del sistema debe:



 Establecer el periodo para el cambio de Establecer el periodo para el cambio de las contraseñas, las cuales debenlas contraseñas, las cuales deben

conservars

conservarse e cifradas.cifradas.



 Establecerá un procedimiento de creación y modificación de contraseñas queEstablecerá un procedimiento de creación y modificación de contraseñas que

señala

señala longitud, longitud, formato formato y y contenido.contenido.



 Definir el proceso de notificación o políticas Definir el proceso de notificación o políticas de bajas de personal parade bajas de personal para

proceder a la inactiva

(56)

b

)

C

o

n

t

r

o

l

d

e

a

c

e

s

o

El responsable del sistema de datos personales debe: El responsable del sistema de datos personales debe:



 Señalar el listado de encargados y usuarios con acceso autorizado.Señalar el listado de encargados y usuarios con acceso autorizado. 

 Actualizar las listas de personas que pueden acceder al sistema de datos Actualizar las listas de personas que pueden acceder al sistema de datos

personales personales

NIVEL BÁSICO

(57)

b

)

C

o

n

t

r

o

l

d

e

a

c

e

s

o

Las listas de control de acceso

Las listas de control de acceso deben contener:deben contener:



 La relación del personalLa relación del personal 

 Actividad Actividad o facultad por el que tienen acceso a los datoso facultad por el que tienen acceso a los datos 

 Una bitácora de accesoUna bitácora de acceso 

 Solamente el responsable del sisSolamente el responsable del sistema de datos personales podrá tema de datos personales podrá concederconceder,,

alterar o anular la autorización para el acceso a los sis

alterar o anular la autorización para el acceso a los sistemas de datostemas de datos personales.

personales.

NIVEL BÁSICO

(58)

c) Control de acceso físico

SSó

óllo

o

q

qu

uiieen

nees

s

eessttéén

n

eexxp

prreessaam

meen

nttee

autorizados en el documento de seguridad

pueden entrar a las instalaciones donde se

een

nccu

ueen

nttrreen

n llo

os

s ssiisstteem

maas

s d

de

e d

daatto

oss

p

peerrsso

on

naalleess,

, yya

a sseea

a een

n sso

op

po

orrtte

e ffííssiicco

o o

o

electrónico.

Nivel medio

(59)

c) Control de acceso físico

El ente público debe establecer el procedimiento

para que únicamente tengan acceso físico al lugar

een

n eel

l q

qu

ue

e sse

e een

nccu

ueen

nttrra

a eel

l ssiisstteem

ma

a d

de

e d

daatto

oss

personales los que están autorizados para ello.

Por ejemplo con un policía.

NIVEL MEDIO

(60)

Público Público

ENTE PUBLICO

(REFERENCIA)

(REFERENCIA) BITACORA DE CONTROL DE ACCESOBITACORA DE CONTROL DE ACCESO VERSION VERSION EELLAABBOORRAADDO O PPOOR R FFEECCHHA A AAPPRROOBBAADDO O PPOOR F ER F ECCHHAA

BIT

(61)

Nivel Alto

Se entenderá como tal, el relativo a las medidas generales de seguridad cuya Se entenderá como tal, el relativo a las medidas generales de seguridad cuya aplicación es obligatoria para los sistemas de datos personales que contengan aplicación es obligatoria para los sistemas de datos personales que contengan datos relativos a la ideología, religión, creencias, afiliación política, origen datos relativos a la ideología, religión, creencias, afiliación política, origen racial o étnico, salud, biométricos, genéticos o vida sexual, así como los que racial o étnico, salud, biométricos, genéticos o vida sexual, así como los que te

tengngan an dadatotos s recrecababadados os papara ra finfines es popoliclicialiales, es, de de segsegururidaidad, d, prprevevencencióión,n, investigación y persecución de delitos, entre otros. Conocidos también como investigación y persecución de delitos, entre otros. Conocidos también como datos sensibles.

datos sensibles.

Nivel Alto

(62)

Nivel Alto

a) Distribución de a) Distribución de soportes soportes b) Registro de b) Registro de acceso acceso c) c) Telecomunicaciones Telecomunicaciones

El Documento de Seguridad de Nivel Alto

además de las

además de las medidas de seguridad previstas para

medidas de seguridad previstas para

el nivel básico y

(63)

Nivel Alto

d) Registro de acceso

••

El acceso a los

El acceso a los sistemas de datos personales se limitará

sistemas de datos personales se limitará

exclusivamente al personal autorizado, estableciendo

además mecanismos que permitan identificar los accesos

utilizados por múltiples personas autorizados.

••

Los mecanismos que permiten el registro de accesos

estarán bajo el control directo del

estarán bajo el control directo del responsable de seguridad

responsable de seguridad

correspondiente, sin que permita la desactivación o

manipulación de los mismos.

(64)

Nivel Alto

El responsable de seguridad del sistema debe

El responsable de seguridad del sistema debe conservar una relación de

conservar una relación de

servidores públicos con al menos lo siguiente:

••

La identificación del usuario y del

La identificación del usuario y del sistema de datos personales

sistema de datos personales

••

La fecha y la hora en que se utilizó el

La fecha y la hora en que se utilizó el sistema.

sistema.

••

El tipo de acceso.

••

La verificación si esté fue autorizado o

La verificación si esté fue autorizado o denegado.

denegado.

El periodo de conservación de los datos previstos en el registro de

acceso será al menos de 2 años.

(65)

Nivel Alto

La transmisión de datos de carácter personal a través de

La transmisión de datos de carácter personal a través de redes públicas

redes públicas

o redes inalámbricas de comunicaciones electrónicas se realizará

cifrando dichos datos o bien utilizando cualquier otro mecanismo que

garantice que la información no sea intangible

garantice que la información no sea intangible ni manipulada por

ni manipulada por

terceros.

e) Telecomunicaciones

(66)

VIII. Procedimient

os de

notificación, gestión y

respuest

a

ante incidencias

a)

(67)

NIVEL BÁSICO

Registro de incidencias

Un

Unaa inincicidedencnciaia pupuededee seser:r:



 CCuuaallqquuiieerr iinnccuummpplliimmiieennttoo ddee llaass nnoorrmmaass ddeessaarrrroollllaaddaass eenn eell

do

docucumementntoo dede SeSeguguriridadadd



 CCuuaallqquuieierr aannoommaallííaa qquuee aaffeectctee oo ppuueeddaa aaffeeccttaarr aa llaa sesegguurriiddaadd ddee

llooss ddaattooss ddee ccaarrááctcteerr ppeerrsosonnaall eenn eell ssiisstetemmaa..

LLaass iinncciiddeenncciiaass ddeebbeenn sseerr ddooccuummeennttaaddaass ppaarraa ddeelliimmiittaar r re

respspononsasabibililidadadedes,s, esestatablblececieiendndoo prprococededimimieientntosos ququee cucuenentetenn coconn un

un reregigistrstro.o.

Numeral 16, I, c) de los Lineamientos Numeral 16, I, c) de los Lineamientos

(68)

NIVEL BÁSICO

Registro de incidencias

Numeral 16, I, c) de los Lineamientos Numeral 16, I, c) de los Lineamientos

(69)

PROCEDIMIENTOS DE NOTIFICACION, GESTION Y

RESPUESTA ANTE INCIDENCIAS

Público Público

ENTE PUBLICO

(REFERENCIA)

(REFERENCIA) PROCEDIMIENTO PARAPROCEDIMIENTO PARA_INCIDENCIAS_INCIDENCIAS VERSIONVERSION EELLAABBOORRA DA DO O P OP OR R FFEECCHHA A A PA PRROOBBAADDO O PPOOR FR FEECCHHAA

(70)

IX. Procedimientos para la realización de copias de

respaldo y recuperación de los datos,

para los sistemas

de datos personales automatizados

Nivel de

seguridad

Elementos a incluir

Básico

a)

a) Gestión

Gestión de

de soportes

soportes

b) Copias de respaldo y recuperación.

Medio

c)

c) Pruebas

Pruebas con

con datos

datos reales

reales

Alto

d)

d) Distribución

Distribución de

de soportes

soportes

Los elementos a incluir en esta sección

Los elementos a incluir en esta sección del documento que haga constar lasdel documento que haga constar las medidas de seguridad, dependerán del nivel de seguridad que les resulte medidas de seguridad, dependerán del nivel de seguridad que les resulte aplicable, de acuerdo a lo establecido en el artículo 14

aplicable, de acuerdo a lo establecido en el artículo 14 de la LPDPDF y elde la LPDPDF y el numeral 16 de los