Puede darse de alta con cualquiera de los dos, siempre que utilice para entrar el mismo con el que se haya dado de alta en la aplicación la primera vez.
El/los Responsable/s Tecnológico/s es/son:
El/los Máximo/s Responsable/s de la/s Unidad/es (o persona en quien delegue) donde se ubican los servidores que contienen las aplicaciones y ficheros relativos a los tratamientos. Se encargará/n del establecimiento desde el punto de vista tecnológico y mantenimiento de las medidas técnicas y organizativas que garanticen el cumplimiento de la normativa, en el tratamiento correspondiente.
Pueden existir dos tipos de RT en función de cómo hayan de incluirse las medidas de seguridad técnicas:
Responsable Tecnológico del Aplicativo: es la persona que gestión la aplicación en la que se tratan los datos. En algunas ocasiones las aplicaciones se gestionan en el SIC, siendo éste el responsable tecnológico de los aplicativos.
Responsable Tecnológico de la Infraestructura: es la persona responsable de los servidores que albergan las aplicaciones, y de las infraestructuras en la que se alojan dichos servidores. Si estos están en el CPD principal de la Universidad, las medidas (o una parte de ellas cuando los servidores se alojen en la modalidad de Infraestructura como Servicio) serán responsabilidad del SIC.
Según el art. 26 del RGPD hay corresponsabilidad cuando:
Cuando dos o más responsables determinen conjuntamente los objetivos y los medios del tratamiento serán considerados corresponsables del tratamiento. Los corresponsables determinarán de modo transparente y de mutuo acuerdo sus responsabilidades respectivas en el cumplimiento de las obligaciones impuestas por el presente Reglamento, en particular en cuanto al ejercicio de los derechos del interesado y a sus respectivas obligaciones de suministro de información a que se refieren los artículos 13 y 14, salvo, y en la medida en que, sus responsabilidades respectivas se rijan por el Derecho de la Unión o de los Estados miembros que se les aplique a ellos. Dicho acuerdo podrá designar un punto de contacto para los interesados.
Del Responsable Tecnológico, siguiendo las indicaciones de las medidas organizativas que le indique el RD. También puede desempeñarlas por delegación del RD, si así lo cree conveniente y la persona que se encarga de ello tiene los suficientes conocimientos informáticos, el Gestor o cualquier persona en quien delegue el primero.
El contenido de este apartado debe ser realizado por el RT en coordinación con el RD en función del tipo de tratamiento y de las aplicaciones que se utilicen. Otra cosa es quien debe rellenarlo, puede ser tanto el RT como el gestor, pero la responsabilidad del contenido es del RT.
La confidencialidad se consigue mediante privilegios de acceso a la información. Solo las personas autorizadas podrán acceder a los datos. Cuando la información está en tránsito las conexiones deben ser seguras, utilizando canales de comunicación cifrados que impidan que un tercero pueda acceder a ella (por ejemplo, mediante el uso de https en la navegación cuando hay datos confidenciales.)
La integridad es la propiedad de la información que garantiza que esta no ha sido modificada desde el origen al destino.
La integridad debe preservarse no solamente en la transmisión (de origen al destino) sino en el almacenamiento.
Para prevenir ataques activos que produzcan alteración de la información en tránsito, inyección de información espuria o secuestro de la sesión por una tercera parte hay que aplicar distintas medidas de seguridad: proteger accesos, actualizar software, eliminar vulnerabilidades, instalar sistemas de protección específicos.
Para el tema de la integridad de la información en el almacenamiento se recomiendan medidas como los verificadores de integridad y los File Integrity Monitoring (FIM) y en la transmisión la integridad se conserva mediante el uso de protocolos seguros que la tengan en cuenta.
Corresponde al Responsable Delegado y al Responsable Tecnológico, coordinadamente.
Las establecidas en el art.28.5 del RGPD, y las establecidas en la D.A. 1ª de la LOPDyGDD[1] que han de ajustarse a los dispuesto en el R.D. 3/2010, de 8 de Enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la administración Electrónica. Las medidas aplicadas deben ser proporcionales al tipo de datos y tratamiento que se les dé a estos.
[1] Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales
La Transparencia es uno de los principios básicos y directamente aplicables que es necesario cumplir en todo tratamiento de datos personales. Se trata de la información relativa al tratamiento de los datos personales y a los derechos que asisten al interesado, que toda Unidad/Centro o Servicio debe comunicar a los usuarios/interesados, cuyos datos van a ser objeto de tratamiento.
Ejercicio de derechos de los interesados es el procedimiento establecido por la Unidad/Centro/Servicio de la Universidad, para que aquellos puedan ejercitar los derechos reconocidos en la normativa.
Existe un procedimiento general que puede consultarse en: el menú de protección de datos.
La Unidad/Servicio/Centro deberá establecer un procedimiento propio y visible a los interesados para que puedan ejercitar este derecho. P.E. puede incluir el enlace al procedimiento general.
Se debe pedir el consentimiento informado exclusivamente para aquellas actividades de tratamiento que de acuerdo con los artículos citados se legitimen en esta condición. Cada RD ha definido en el tratamiento qué bases de legitimación son las aplicables en cada caso. Será necesario solicitar el consentimiento en aquellas actividades de tratamiento de datos personales que esta condición sea base legitimadora. En la aplicación hay que demostrar que se ha solicitado y cómo el responsable del tratamiento lo guarda.
La licitud o legitimidad del tratamiento es uno de los principios básicos y directamente aplicable del sistema jurídico de protección de datos europeo. Se encuentra regulado en los artículos 6 y 9 del RGPD donde se señalan una serie de condiciones en que se habrán de basar los tratamientos de datos personales para considerarse legítimos/lícitos.
Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. Esta valoración la debe de realizar el RD de conformidad con la legislación aplicable al tratamiento y a los datos personales.
Mediante certificaciones, procesos de borrado… es competencia del RT/RD
El RD debe analizar el tratamiento y decidir este aspecto, de conformidad con la legislación aplicable.
Para la eliminación de documentos se deben seguir las siguientes pautas:
No siempre. Tendría que ser un cortafuegos muy avanzado con un módulo específico de protección del correo electrónico. No obstante, la Universidad de Sevilla, en su servidor de Correo, dispone de un sistema de detección de mensajes con adjuntos potencialmente peligrosos. Estos sistemas nunca tienen un 100% de eficacia, pero constituyen una buena barrera de protección.
En principio, no debe ocurrir cuando se navega desde dentro de la propia universidad hacia la página de un servicio corporativo ya que las conexiones, dependiendo desde dónde nos conectemos, no siempre pasan por el cortafuego. Cuando navegamos desde la Universidad hacia Internet y nos aparece ese mensaje es que la página a la que intentamos conectarnos está catalogada como maliciosa. El motivo del mensaje es que la página remota contiene código que puede ser dañino para nuestros equipos y por eso se bloquea. Sólo en el caso de que el usuario esté seguro de que la página es buena, debe seguir las instrucciones de la propia página de aviso para pedir la revisión de la misma al fabricante del cortafuego. Ante la duda, mejor preguntar al Servicio de Atención al Usuario SOS.
La actualización de la base de datos es dinámica. Tanto las firmas de virus como las direcciones IPs maliciosas en listas negras se actualizan periódicamente.
Es más operativo realizar el filtrado de ataques a un servidor concreto de la Universidad en el cortafuego del propio servidor, a no ser que se detecte que el ataque se realiza de forma masiva a múltiples equipos de la Universidad de Sevilla. No obstante, es conveniente estudiar estos ataques que a veces ocurren porque tenemos expuesto un puerto o servicio al mundo cuando que debería estar restringido a la Universidad de Sevilla. En ciertos casos se podría incluir una regla en el cortafuego perimetral que paliara un ataque concreto.
El Centro Informático Científico de Andalucía (CICA) es un centro de la Junta de Andalucía concebido para prestar servicios a la comunidad científica andaluza. Es nuestro punto de acceso a Internet. Todas las Universidades Andaluzas y centros de investigación accedemos a Internet a través del CICA.
Sí. En este enlace se puede consultar la normativa específica para el uso de las redes de comunicaciones de la Universidad de Sevilla. Aplica a todos los dispositivos que se conectan a la red inalámbrica de la Universdad de Sevilla independientemente de que sea un dispositivo personal o corporativo, si en él se usan servicios digitales de la Universidad.
Dependiendo del terminal móvil las opciones de configuración pueden variar. Nuestra recomendación es que busque las opciones de configuración para su modelo de móvil en Internet y localice la forma de cambiar en el móvil la clave para acceder a una red wifi particular (la de casa, por ejemplo). En relación al acceso a Eduroam, para que la configuración sea segura, la mejor opción es acceder a la página web de Eduroam CAT para configurar su dispositivo. La página incluye un instalador.
No, no está permitido el acceso directo al puesto de trabajo mediante ningún escritorio remoto desde fuera de la Universidad. Cuando sea necesario acceder a recursos de la US desde fuera de nuestras instalaciones, se recomienda el uso de VPN (Red Privada Virtual). En la web del SIC puedes encontrar toda la información respecto a la VPN de la Universidad de Sevilla.
Para acceder al escritorio remoto de Microsoft (RDP) es necesario acceder desde la Red Informática de la Universidad de Sevilla (RIUS). Para acceder desde fuera de la Universidad de Sevilla hay que estar conectado a la VPN de la Universidad se debe cumplir la Normativa de acceso local y remoto.
Los servicios mínimos necesarios que deben estar arrancados en un equipo dependen del uso que se le vaya a dar al equipo y del sistema operativo usado. Puede encontrar información de cómo realizarlo en esta Guía de bastionado o configuración segura. Sin los conocimientos necesarios es una tarea difícil de realizar por el usuario por lo que recomendamos que para los puestos de trabajo se solicite ayuda al Servicio de Atención a Usuarios SOS.
Sólo en algunos casos puntuales puede ocurrir esto. En estos casos recomendamos al usuario que acuda al Servicio de Atención a Usuarios SOS para estudiar la mejor solución.
La actualización de Java puede afectar al uso de herramientas de UXXI que requieren una versión específica. La actualización automática del Sistema Operativo no implica la actualización automática de Java. No obstante, ante cualquier problema que surja, debe contactar con el Servicio de Atención a Usuarios SOS y seguir sus indicaciones.
El uso responsable no es suficiente para proteger el equipo. Debemos usar siempre un antivirus independientemente del sistema operativo que use nuestro dispositivo.
Debido a la finalización de las licencias de antivirus deTrendMicro para los equipos con XP el Servicio de Informática y Comunicaciones recomienda el uso de algunos de los antivirus compatibles que aparecen en la siguiente esta tabla. Toda la información relativa a antivirus se publica en la web del SIC.
Para sacar información corporativa fuera de las dependencias de la Universidad de Sevilla es necesario disponer de una autorización del responsable de dicha información. En función del tipo de información almacenada en el disco duro externo o en cualquier otro soporte extraible, podría ser necesario cifrarlo debido a que el transporte de este tipo de dispositivos tienen un riesgo añadido de pérdida, robo o daño.
Consulte la siguiente Guía de cifrado de la información que le orientará sobre cuándo y cómo cifrar la información. El acceso a la guía está restringido por UVUS.
En principio, cifrar la información almacenada en un equipo, sea fijo o portátil, o en dispositivos extraíbles, cuando los datos sean sensibles o la información confidencial, es responsabilidad del usuario que trabaja con dicho equipo o dispositivo.
Si no se cumplen los principios de protección de datos, sí es una mala práctica, incluso cuando se publican sólo para personal interno a la US. Dependiendo del evento puede ser necesario tener un consentimiento explícito de las personas que aparezcan en la fotografía, pero en todo caso el obligatorio anunciar la grabación y dar información sobre el tratamiento y la finalidad que se va a dar a esas fotografías. Ante cualquier duda debemos consultar a la Oficina de Protección de Datos de la Universidad de Sevilla.
No se puede ya que no es posible identificar correctamente al solicitante. Las nuevas tecnologías ya permiten la consulta de las calificaciones de forma segura sin tener que acudir a esta vía.
Nombre, apellidos, DNI y calificaciones son datos personales y hay que cumplir la ley. La Universidad de Sevilla establece las directrices para la correcta publicación de las calificaciones en relación a la protección de datos personales y la transparencia. Las instrucciones de publicación de calificaciones se pueden consultar aquí.
Pedir a los conserjes que los retiren y simplemente informen en una nota de que se ha encontrado un DNI o carné universitario.
El Reglamento General de Protección de Datos no aplica al tratamiento de imágenes efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas, si bien la publicación de información de terceros en el ámbito doméstico nunca podrá lesionar los derechos e intereses de las personas. La Agencia Española de Protección de Datos ha publicado una Guía sobre el uso de videocámaras para seguridad y otras finalidades que aclara muchos puntos relacionados con la publicación de imágenes y vídeos, tanto en el ámbito profesional como en el personal.
Los datos profesionales se pueden publicar siempre que sean los mínimos imprescindibles para localizar al profesional. La finalidad debe ser la de entablar relaciones profesionales-empresariales. Cualquier dato que no sea necesario para este fin no podrá ser publicado y el trabajador podrá solicitar la retirada del mismo.
Se puede limitar la indexación de nuestra web, no solo por parte de Google, sino por cualquier otro buscador (Yahoo, Bing…) utilizando el archivo de texto plano robots.txt. Hay que crearlo en la raíz del sitio web, por lo que debe hacerlo el administrador de la página. En dicho archivo se establecen las indicaciones que deben cumplir los robots spiders cuando visiten y rastreen nuestro sitio web.
Las convocatorias deben ser acordes al Reglamento General de Protección de Datos. El registro online permite mantener la privacidad si las convocatorias se ajustan a la ley. No obstante, cualquier consulta relacionada con protección de datos debe hacerse a través del Delegado de Protección de Datos de la Universidad de Sevilla (dpd@us.es).
El Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales, establecen el principio de minimización de los datos, que significa que estos deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados. La Universidad de Sevilla trata los datos imprescindibles para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos que tiene conferidos sin necesidad de tener un consentimiento explícito del usuario. Pero una fotografía puede no ser un dato mínimo y en este caso, sí pide, a través de SEVIUS, el consentimiento para publicarla en el Portal de la Universidad. La publicación es voluntaria.
No. Debería tener el consentimiento explícito de los asistentes a la clase. No obstante, cualquier consulta relacionada con protección de datos debe hacerse a través del Delegado de Protección de Datos de la Universidad de Sevilla (dpd@us.es).
Completamente. Ambos pertenecen al nivel de supervisión de la Comisión de Seguridad de la Información y trabajan de forma coordinada.
Cuando se trabaja con documentación que contiene datos personales o información corporativa confidencial, se debe aplicar la política de "mesas limpias" al abandonar el puesto de trabajo. Los documentos se guardarán bajo llave en cajones y armarios para evitar que accedan a la información personas no autorizadas.
Cualquier información generada en el ejercicio de nuestras funciones en la Universidad de Sevilla es corporativa. Las medidas de protección de la información corporativa dependerán de la clasificación de dicha información. Puedes consultar la normativa relativa a la clasificación y tratamiento de la información en este enlace.
Los datos sobre un trabajador que aparecen en el directorio de la Universidad de Sevilla deben ser exactos y si no lo son, se deben actualizar. Puesto que se obtienen de distintas fuentes de datos corporativas, si un trabajador detecta que no son correctos, la mejor opción es comunicarlo al Servicios de Atención a Usuarios SOS mediante un petición en la plataforma para que el dato incorrecto se actualice en la fuente correspondiente.
Todo el correo electrónico del dominio us.es es corporativo. Se puede distinguir entre cuentas nominales asociadas al UVUS, de uso personal e intransferible, ya que nos permite el acceso a las aplicaciones corporativas y a nuestros datos personales, y cuentas misceláneas asociadas a un puesto de trabajo, que tienen un único responsable pero que puede ser usada por más de una persona en el tiempo para el ejercicio de sus funciones. Los procedimientos de solicitud, uso y custodia son diferentes y se encuentran descritos en el “Procedimiento de gestión de la Identidad Digital y acceso lógico de la Universidad de Sevilla”.
Importantísima. Significa que la conexión es segura y la información va cifrada. Siempre que nos conectemos a una página que tenga información confidencial, acceso restringido por usuario o cualquier formulario de registro o recogida de datos, debemos asegurarnos de que el protocolo usado es https y no http.
No todas. Dependiendo del navegador, a veces, en una conexión segura https, en vez del candado aparece un signo de advertencia en lugar del candado o una página que dice que la conexión es insegura. Esto significa que el certificado digital que usa el servidor al que intentamos conectarnos está caducado o no es de confianza. En ese caso debemos valorar si nos conectamos o no.
