Beruflich Dokumente
Kultur Dokumente
de
Seguridad
Direccin de Datos Personales
ndice
1.
2.
3.
4.
5.
6.
Medidas de Seguridad.
Tipos de Seguridad.
Niveles de Seguridad.
Definicin de Documento de Seguridad.
Finalidad del Documento de Seguridad.
Elaboracin del Documento de Seguridad.
Medidas de
Seguridad
Medidas de Seguridad
Tipos de
Seguridad
Tipos de Seguridad
equipos,
soportes
sistemas
de
datos
para
la
Tipos de Seguridad
as
como
las
consideraciones
especiales
respecto
de
aplicaciones y pruebas;
IV. De cifrado.- Consiste en la implementacin de algoritmos, claves,
contraseas, as como dispositivos concretos de proteccin que
garanticen la integralidad y confidencialidad
de
informacin;
(Art.
14la
apartado
A de la yLPDPDF)
Niveles de
Seguridad
Niveles de Seguridad
1.
2.
3.
Bsico
Medio
Alto
Niveles de Seguridad
Datos
identificativos.
Datos
electrnicos.
Datos
laborales
Documento de seguridad
Funciones y Obligaciones
de las personas que
intervienen en el
tratamiento de datos
personales.
Registro de incidencias.
Identificacin y
autentificacin.
Control de acceso.
Gestin de Soportes.
Copias de respaldo.
Bsic
o
Medio
Responsable de
seguridad
Auditora
Control de acceso
fsico.
Pruebas con datos
reales. Datos de trnsito y
movimientos
migratorios.
Datos acadmicos.
Datos sobre
procedimientos
administrativos y/o
jurisdiccionales.
Datos patrimoniales.
Datos sobre la
salud. Datos
biomtricos.
Datos
especialmente
protegidos
(sensibles)
Distribucin de
soportes
Registro de acceso
Telecomunicaciones.
Notificacin del
nivel de seguridad.
Alto
Qu es el
Documento de
Seguridad?
Qu es el Documento de
Seguridad?
garantizar
confidencialidad,
la
proteccin,
integridad
Documento de Seguridad
El responsable elaborar, difundir e implementar la normativa de
seguridad mediante el documento de seguridad que ser de
observancia obligatoria para todos los servidores pblicos del ente
pblico, as como para toda aquella persona que debido a la
prestacin de un servicio tenga acceso a los sistemas de datos
personales y/o al sitio donde se ubican los mismos, tomando en cuenta
lo dispuesto en la Ley y en los presentes Lineamientos.
Qu
deber
contener
Documento de Seguridad ?
el
Sistema
de
Datos
Numeral 16 ,I, a) de
los Lineamientos
Direccin de Datos Personales
Qu deber contener el
Documento de Seguridad ?
Funciones y obligaciones del personal que
intervenga en el tratamiento de los
sistemas de datos personales
Medidas,
normas,
procedimientos
y
criterios enfocados a garantizar el nivel de
seguridad exigido por el artculo 14 de la
Ley y los Lineamientos
Procedimientos de notificacin, gestin y
respuesta ante incidencias
Procedimientos para la realizacin de
copias de respaldo y recuperacin de los
datos, para los sistemas de datos
personales automatizados
Procedimientos para la realizacin de
auditorias
Numeral 16 ,I, a) de
los Lineamientos
Direccin de Datos Personales
Actualizaci
n del
documento
de
seguridad
Anual
Cada que se
modifique el
tratamiento de
los datos
personales
Finalidad del
Documento de
Seguridad
Temporalidad
Disponibilidad
Seguridad
Confidencialidad
Calidad de datos
Consentimiento
Licitud
Direccin de Datos Personales
Principio de
confidencialidad
El principio de confidencialidad, seala que solo el
interesado, el responsable o el usuario pueden acceder al
sistema. Su objeto es garantizar que solo se utilicen para los
propsitos para los que fueron obtenidos.
Al responsable y al usuario les impone el deber de secreca el
cual puede ceder por :
Principio de Seguridad
El principio de seguridad, se refiere a garantizar que
el tratamiento de los datos personales sea llevado a
cabo solo por quin est autorizado.
El documento de seguridad es la herramienta para
garantizar lo tutelado por el principio de seguridad.
(Art. 5 de la LPDPDF)
Elaboracin del
Documento de
Seguridad
CARATULA
LOGO DEL
ENTE
PUBLICO
Aprobado por:
Fecha de Aprobacin
GUIA DE CONTENIDO
ENTE PUBLICO
GUIA DE CONTENIDO
VERSION
FECHA
APROBADO POR FECHA
(REFERENCIA)
ELABORADO POR
Introduccin
4
5
6
7
8
9
10
11
Ambito de aplicacin
INTRODUCCIN
(REFERENCIA)
ELABORADO POR
ENTE PUBLICO
INTRODUCCION
VERSION
FECHA
APROBADO POR FECHA
Estructura propuesta:
I. Nombre del sistema;
II. Cargo y adscripcin del responsable;
III. mbito de aplicacin;
IV. Estructura y descripcin del sistema de datos personales;
V. Especificacin detallada de la categora de datos personales contenidos en el sistema;
VI. Funciones y obligaciones del personal que intervenga en el tratamiento de los sistemas
de datos personales;
VII. Medidas, normas, procedimientos y criterios enfocados a garantizar el nivel de
seguridad exigido por el artculo 14 de la Ley y los presentes Lineamientos;
VIII. Procedimientos de notificacin, gestin y respuesta ante incidencias;
IX. Procedimientos para la realizacin de copias de respaldo y recuperacin de los datos,
para los sistemas de datos personales automatizados; y
X. Procedimientos para la realizacin de auditoras, en su caso.
ENTE PUBLICO
IDENTIFICACIN DEL
RESPONSABLE DE
VERSION
SEGURIDAD
FECHA
APROBADO POR FECHA
(REFERENCIA)
ELABORADO POR
FUNCION:
NOMBRE Y APELLIDOS:
CATEGORA:
DIVISIN O DEPARTAMENTO:
DIRECCIN:
AMBITO DE APLICACIN
ENTE PUBLICO
AMBITO DE APLICACIN
VERSION
FECHA
APROBADO POR FECHA
(REFERENCIA)
ELABORADO POR
ENTE PUBLICO
ESTRUCTURA Y
DESCRIPCION DEL
VERSION
SISTEMA DE DATOS
PERSONALES
FECHA
APROBADO POR FECHA
(REFERENCIA)
ELABORADO POR
(REFERENCIA)
ELABORADO POR
ENTE PUBLICO
ESTRUCTURA Y
DESCRIPCION DEL
VERSION
SISTEMA DE DATOS
PERSONALES
FECHA
APROBADO POR FECHA
CESION DE DATOS:
ENCARGADOS:
USUARIOS:
NIVEL DE SEGURIDAD:
ORIGEN:
(REFERENCIA)
ELABORADO POR
ENTE PUBLICO
CATEGORIA DE DATOS
PERSONALES
CONTENIDOS EN EL
VERSION
SISTEMA DE DATOS
PERSONALES
FECHA
APROBADO POR FECHA
Logo del
Ente
Pblico
ENTE PUBLICO
ATRIBUCIONES DEL
(REFERENCIA)
RESPONSABLE DEL VERSION
SISTEMA
APROBADO
ELABORADO POR
FECHA
FECHA
POR
ATRIBUCIONES DEL
RESPONSABLE DE
SEGURIDAD
ATRIBUCIONES DE
LOS USUARIOS
(REFERENCIA)
ELABORADO POR
ENTE PUBLICO
MEDIDAS Y NORMAS PARA
GARANTIZAR EL NIVEL DE VERSION
SEGURIDAD
FECHA
APROBADO POR FECHA
(REFERENCIA)
ELABORADO POR
ENTE PUBLICO
PROCEDIMIENTO PARA
GARANTIZAR EL NIVEL VERSION
DE SEGURIDAD
APROBADO
FECHA
FECHA
POR
NIVEL BSICO
Se entender como tal, el relativo a las medidas
generales de seguridad cuya aplicacin es
obligatoria para todos los sistemas de datos
personales. Dichas medidas corresponden a los
siguientes aspectos:
NIVEL BSICO
Documento de seguridad
Funciones y obligaciones
del personal que intervenga
en el tratamiento de los
sistemas
de
datos
personales
Nivel bsico
Al asignar nombre al sistema es importante que ste guarde relacin con la finalidad
del sistema, considerando como finalidad del sistema el motivo de creacin del mismo.
Adems, el nombre debe coincidir con el nombre del sistema con el que fue publicado
en la Gaceta Oficial del Distrito Federal o, en su caso, con el nombre con el que fue
inscrito en el Registro Electrnico de Sistemas de Datos Personales (RESDP).
(Ejemplo:SISTEMADEDATOSPERSONALESDELOSRECURSOSHUMANOS
DELINSTITUTODEACCESOALAINFORMACINPBLICADELDISTRITO
FEDERAL)
Direccin de Datos Personales
Nivel bsico
II. Nombre, cargo y adscripcin del responsable
De conformidad con lo sealado en el artculo 2 de la LPDPDF el responsable del Sistema de
Datos Personales es la Personafsicaquedecidasobrelaproteccinytratamientodedatos
personales,ascomoelcontenidoyfinalidaddelosmismos, es decir, el responsable decide la
finalidad, contenido y uso del sistema y no es la persona que los trata o maneja. Adems, el
titular de la unidad administrativa que tiene bajo la guarda y custodia material de los
documentos.
El cargo y rea de adscripcin del responsable es el mismo con el que fue publicado en la
GODF y/o el que fue inscrito en el RESDP.
Es importante que el responsable tenga el nivel jerrquico adecuado para emitir actos de
autoridad, pues de acuerdo a lo establecido en el artculo 32 de la LPDPDF es el responsable
quien debe atender las solicitudes de acceso, rectificacin, cancelacin y oposicin de datos
personales (solicitudes ARCO).
(Ejemplo: Nombre ______
Cargo del responsable: Directora de Administracin y Finanzas
Adscripcin del responsable: Direccin de Administracin y Finanzas.)
Direccin de Datos Personales
Nivel bsico
Nivel bsico
IV. Estructura, descripcin del sistema de datos personales
La estructura del sistema de datos personales debe incluir una
descripcin precisa de las caractersticas del sistema de datos
personales, entre los aspectos que se recomienda incluir se
encuentran los siguientes:
Publicacin de
Creacin en Gaceta
Oficial del Distrito
Federal
Nivel bsico
V. Especificacin detallada de la categora de datos
personales contenidos en el sistema
Nivel bsico
Nivel bsico
Ejemplo:
Estructura bsica del sistema de datos personales.
Datos especialmente protegidos:Informacinmdica,huellasdigitalesytipo
desangre.
Datos identificativos:nombre,ClavedelRegistroFederaldeContribuyentes
(RFC),ClavenicadeRegistrodePoblacin(CURP),domicilio,edad,estado
civil,fechadenacimiento,matrculadeserviciomilitarnacional(siaplica),
nacionalidad,nombredefamiliaresdependientesybeneficiarios,nmerode
pasaporte(siaplica),telfonocelular,telfonoparticular
Direccin de Datos Personales
Nivel bsico
Nivel
Aspectos a incluir
de
seguri
dad
Bsico a) Funciones
y
obligaciones
del
responsable, encargado y de toda
persona que intervenga en el
tratamiento de los sistemas de datos
a) Las funciones y las obligaciones de todos los que intervienen en el tratamiento de datos
personales deben estar claramente definidas en el documento de seguridad o como se
seal, preferentemente de manera anexa para facilitar la modificacin de las mismas, sin
que sea obligacin publicarlas en la GODF, sin embargo, tambin es pertinente sealar
que, en caso de que el documento contenga las funciones de manera anexa, y se realicen
modificaciones, se deben conservar ambos anexos, (el inicial y los documentos que
contengan las diversas modificaciones).
Las funciones deben ser congruentes con el Reglamento interior y/o con el manual de
organizacin del Ente Pblico o normatividad que resulte aplicable.
El responsable del sistema debe asegurarse de que el personal con acceso fsico o
automatizado conozca:
Recomendaciones
NIVEL MEDIO
NIVEL MEDIO
El nivel de seguridad medio es aplicable a los sistemas de datos
personales relativos a:
La comisin de infracciones administrativas o penales,
Hacienda pblica,
Servicios financieros,
Datos patrimoniales,
Datos que permitan obtener una evaluacin de la personalidad
del individuo.
Nivel medio
b) Responsable de seguridad
El responsable del sistema designa uno o varios responsables de
seguridad para uno o todos los sistemas de datos en posesin del ente
pblico. Lo que depende de los mtodos de organizacin y tratamiento
de los sistemas.
Nivel medio
b) Responsable de seguridad
Los cuales deben ser Directores de rea o en caso de que los sistemas
se encuentren en diferentes Unidades Administrativas puede recaer en
Subdirectores
Nivel medio
b) Responsable de seguridad
Nivel
Aspectos a incluir
de
seguri
dad
Bsico a) Mecanismos de identificacin y
autenticacin;
b)Mecanismos de control de acceso;
Medio c) Mecanismos de control de acceso
Nivel bsico
a) Identificacin y autentificacin
Elresponsabledeseguridaddelsistemadebe:
Elaborar una relacin de servidores pblicos con acceso autorizado
alsistema
Establecer procedimientos que permitan la correcta identificacin y
autenticacinparaelacceso.
Establecerunmecanismoquepermitalaidentificacin,laspersonas
que intenten acceder al sistema de datos personales y verificar que
estautorizada.
NIVEL BSICO
a) Identificacin y autentificacin
Elresponsabledeseguridaddelsistemadebe:
Establecerelperiodoparaelcambiodelascontraseas,lascualesdeben
conservarsecifradas.
Establecerunprocedimientodecreacinymodificacindecontraseasque
sealalongitud,formatoycontenido.
Definirelprocesodenotificacinopolticasdebajasdepersonalpara
procederalainactivacindecuentas.
NIVEL BSICO
b)Controldeacceso
NIVEL BSICO
b)Controldeacceso
Nivel medio
c) Control de acceso
fsico
Slo quienes estn expresamente
autorizados en el documento de
seguridad
pueden
entrar
las
NIVEL MEDIO
(REFERENCIA)
ELABORADO POR
Nivel Alto
Nivel Alto
Se entender como tal, el relativo a las medidas
generales de seguridad cuya aplicacin es obligatoria
para los sistemas de datos personales que contengan
datos
relativos
afiliacin
poltica,
la
ideologa,
origen
religin,
racial
creencias,
tnico,
salud,
datos
recabados
para
fines
policiales,
de
Nivel Alto
El Documento de Seguridad de Nivel Alto
adems de las medidas de seguridad
previstas para el nivel bsico y medio,
deber comprender:
Nivel Alto
d) Registro de acceso
El acceso a los sistemas de datos personales se limitar
exclusivamente al personal autorizado, estableciendo
adems mecanismos que permitan identificar los accesos
utilizados por mltiples personas autorizados.
Nivel Alto
Nivel Alto
e) Telecomunicaciones
VIII. Procedimientos de
notificacin, gestin y
respuesta ante incidencias
a) Registro de incidencias
NIVEL BSICO
Registrodeincidencias
Una incidencia puede ser:
Cualquier incumplimiento de las normas desarrolladas en el
documento de Seguridad
Cualquier anomala que afecte o pueda afectar a la seguridad de
los datos de carcter personal en el sistema.
Las incidencias deben ser documentadas para delimitar
responsabilidades, estableciendo procedimientos que cuenten con
un registro.
Numeral 16, I, c) de los Lineamientos
Direccin de Datos Personales
NIVEL BSICO
Registrodeincidencias
El formato de registro de incidencias debe contener:
Tipo de incidencia.
El momento en que se produjo.
Nombre y cargo de quien notifica la incidencia
Nombre y cargo de la persona a la que se le comunica
Las acciones que se implementan a consecuencia de la incidencia
Numeral 16, I, c) de los Lineamientos
Direccin de Datos Personales
(REFERENCIA)
ELABORADO POR
ENTE PUBLICO
PROCEDIMIENTO PARA
VERSION
INCIDENCIAS
FECHA
APROBADO POR FECHA
Nivel de
seguridad
Bsico
Medio
Alto
Elementos a incluir
a) Gestin de soportes
b) Copias de respaldo
recuperacin.
c) Pruebas con datos reales
d) Distribucin de soportes
Nivel Bsico
a)Gestindesoportes
Lossoportesfsicosyelectrnicosalmacenadosdebenestar:
Etiquetadosparapermitiridentificareltipodeinformacinque
contienen,
Inventariadosy
Sloelpersonalautorizadopodraccederaellos.
Paraquepuedansalirdelasinstalacionesuoficinaselresponsable
debeautorizarlo.
Parasutrasladodebenadoptarsemedidasqueevitenlasustraccin,
prdidaoaccesoindebidoalainformacin.
Paradesecharcualquiersoportequecontengadatosdecarcterpersonal
deber destruirse o borrarse, adoptando medidas dirigidas a evitar el
acceso a la informacin contenida en el mismo o su recuperacin
posterior.
Direccin de Datos Personales
Nivel Bsico
b)Copiasderespaldoyrecuperacin.
Elresponsabledebe:
Establecer el procedimiento para realizar las de copias de respaldo
Establecer el periodo en que se realizarn y su periodicidad.
En caso de que los datos personales se encuentren en soporte fsico, se
procurar que el respaldo se efecte mediante la digitalizacin de los
documentos.
Para soportes electrnicos establecer procedimientos para recuperar los
datos
Verificar, al menos, cada seis meses la correcta definicin,
funcionamiento y aplicacin de los procedimientos de realizacin de
copias, ascomo los de recuperacin.
Direccin de Datos Personales
(REFERENCIA)
ELABORADO POR
ENTE PUBLICO
PROCEDIMIENTO PARA
VERSION
COPIAS DE RESPALDO
APROBADO
FECHA
FECHA
POR
(REFERENCIA)
ELABORADO POR
Nivel medio
c) Pruebas con datos reales
Se
realizan
para
verificar
la
correcta
aplicacin
funcionamiento
de
los
Para realizar pruebas con datos reales primero debe elaborarse una copia de
respaldo.
Nivel Alto
d)Distribucindesoportes
X.
Procedimientos
para
la
realizacin de auditoras, en su
caso
NIVEL MEDIO
Auditora
Auditora es el proceso de revisin
que se lleve a cabo con el fin de emitir
una opinin acerca del cumplimiento
de las disposiciones establecidas en la
normatividad que regula, en este caso
la materia de proteccin de datos
personales
Direccin de Datos Personales
NIVEL MEDIO
Auditora
Las medidas de seguridad implementadas
para la proteccin de los sistemas de datos
personales se sometern, al menos cada
dos aos a una auditora la cual puede ser:
Interna o
Externa
NIVEL MEDIO
Auditora
La finalidad de la auditora es:
Verificar el cumplimiento de las disposiciones establecidas en el documento
de seguridad para proteger los datos contenidos en el sistema.
Identificar las deficiencias.
Proponer las medidas preventivas, correctivas o complementarias necesarias.
Revisar que el documento de seguridad haya sido elaborado conforme a lo
establecido en la Ley y los Lineamientos.
NIVEL MEDIO
Auditora
El responsable del sistema debe:
Comunicar al Instituto el resultado de la auditora,
dentro de los 20 das hbiles siguientes a su emisin.
Informar de la adopcin de las medidas correctivas
derivadas de la auditora.
Numeral 16, II. b) de los Lineamientos
NIVEL MEDIO
Auditora
El responsable del sistema debe:
Comunicar al Instituto el resultado de la auditora, dentro de
los 20 das hbiles siguientes a su emisin.
Informar de la adopcin de las medidas correctivas derivadas
de la auditora.
Numeral 16, II. A) de los Lineamientos
NIVEL MEDIO
Auditora
Los 120 das hbiles, establecidos en el artculo cuarto transitorio
de los Lineamientos, transcurrieron del 27 de octubre del 2009 al
11 de mayo de 2010.
Es a partir de entonces que se considera que los entes obligados
estn en condiciones de cumplir con las medidas de seguridad
exigidas por la Ley de la materia, toda vez que ya tuvieron un
trmino para poder realizar las adecuaciones pertinentes.
Numeral 16, II. b) de los Lineamientos
NIVEL MEDIO
Auditora
A ms tardar para el 11 de mayo del 2012, se debe de haber
iniciado con al menos una auditora de las que se refiere el numeral
16, fraccin II, inciso b), de los Lineamientos, con la finalidad de
verificar el cumplimiento de las disposiciones contenidas en el
documento de seguridad de los sistemas de datos personales que
estn en su posesin, de acuerdo a las disposiciones aplicables.
Numeral 16, II. b) de los Lineamientos
PROCEDIMIENTO
PARA AUDITORIAS
(REFERENCIA)
ELABORADO POR
ENTE PUBLICO
PROCEDIMIENTO PARA
VERSION
AUDITORIAS
APROBADO
FECHA
FECHA
POR
NIVEL BSICO
Gestindesoportes
Lossoportesfsicosyelectrnicosalmacenadosdebenestar:
Etiquetadosparapermitiridentificareltipodeinformacinquecontienen,
Inventariadosy
Sloelpersonalautorizadopodraccederaellos.
Paraquepuedansalirdelasinstalacionesuoficinaselresponsabledebeautorizarlo.
Parasutrasladodebenadoptarsemedidasqueevitenlasustraccin,prdidaoacceso
indebidoalainformacin.
Paradesecharcualquiersoportequecontengadatosdecarcterpersonaldeberdestruirse
oborrarse,adoptandomedidasdirigidasaevitarelaccesoalainformacincontenidaen
elmismoosurecuperacinposterior.
Direccin de Datos Personales
NIVEL BSICO
Copiasderespaldoyrecuperacin.
Elresponsabledebe:
Establecer el procedimiento para realizar las de copias de respaldo
Establecer el periodo en que se realizarn y su periodicidad.
En caso de que los datos personales se encuentren en soporte fsico,
se procurar que el respaldo se efecte mediante la digitalizacin de
los documentos.
Para soportes electrnicos establecer procedimientos para recuperar
los datos
Verificar, al menos, cada seis meses la correcta definicin,
funcionamiento y aplicacin de los procedimientos de realizacin de
copias, as como los de recuperacin.
GRACIAS
POR SU
ATENCIN
gabriela.m
ontes@info
df.org.mx
ignacio.nu
Direccin de Datos Personales