Intercambio de la información y uso de soportes

Además de las Normas generales aplicables a todos los servicios y recursos de la US los usuarios deben conocer y cumplir lo siguiente:

La entrada y salida de información de los SI de la US en cualquier soporte, por cualquier medio de comunicación o en papel, contengan o no datos personales, deberá ser realizada exclusivamente por personal autorizado por la propia US.
Como norma general, los usuarios se abstendrán de sacar al exterior cualquier información de los SI de la US en cualquier soporte, comunicación electrónica o papel, salvo autorización expresa.
Cuando se trate de SI categorizados de nivel bajo o de datos personales de nivel básico, las operaciones con soportes serán autorizadas por el responsable del SI, en su caso, o por el responsable del tratamiento de los datos personales.
Los SI categorizados de nivel medio y los datos personales a partir del nivel medio, requieren una gestión más exhaustiva de la información en tránsito y los soportes utilizados para ello.
La entrada y salida de datos sensibles, confidenciales o protegidos, requerirán el cifrado de la información o la utilización de cualquier otro mecanismo que garantice que la información no será inteligible durante su remisión o transporte.

1. Gestión de soportes físicos

1.1. Inventario de soportes

Cualquier soporte con información corporativa de los SI de la US o que contenga datos protegidos por la legislación vigente debe estar inventariado. Los responsables de la información serán los encargados de gestionar el inventario de los soportes físicos. El inventario de los soportes físicos debe contener, al menos:

Código del soporte
Tipo de soporte físico utilizado
Fecha de alta/baja
Tipo de información que contiene
Nivel de seguridad de la información que contiene
Responsable del soporte
Personas autorizadas para acceder al soporte
Estado: activo/baja/extraviado/averiado
Observaciones

1.2. Etiquetado de soportes

Los soportes que contengan información corporativa o datos personales se deben etiquetar utilizando códigos que, sin revelar el contenido del soporte, permitan identificar el tipo de información que contienen a los usuarios autorizados.

Los usuarios han de estar capacitados para entender el significado de las etiquetas, bien mediante simple inspección, bien mediante el acceso a un repositorio que lo explique.

1.3. Registro de operaciones con soportes

Los soportes que contengan información de los SI de nivel medio de la US o datos protegidos deben permanecer bajo control. Para ello:

Se dispondrá de un registro de entrada/salida de información que identifique los soportes y las personas que van a transportar la información.
Se dispondrá de un procedimiento rutinario que levante las alarmas pertinentes cuando se detecte algún incidente de seguridad con la información en tránsito.
Se utilizarán los medios de protección criptográfica correspondientes al nivel de calificación de la información contenida de mayor nivel y se protegerán las claves criptográficas durante todo su ciclo de vida.
El Responsable de la Información garantizará que se satisfacen los requisitos de seguridad mientras los datos están siendo desplazados de un lugar a otro:
Si la información es relativa a servicios, corresponde al Responsable del Servicio con el que está relacionada.
Si se trata de información con datos de aplicación propia o ajena, corresponde al Responsable de la Aplicación.
Si la información contiene datos de carácter personal, corresponde al responsable del tratamiento aplicar las medidas de protección de datos personales.

Cuando el personal que maneja los soportes es personal ajeno a la Universidad, ya sea trabajando en ella o en las dependencias de una empresa externa, se observarán las siguientes normas:

La empresa deberá firmar un acuerdo de tratamiento de datos con la US.
Si se trata de datos de carácter personal será necesario firmar el correspondiente contrato de “encargado de tratamiento” de conformidad con lo establecido por la legislación vigente.
En todo caso, deberá garantizarse el nivel de seguridad de los datos tratados.

Los registros de entrada/salida de información en soporte físico deben contener, al menos, la siguiente información:

Código del soporte (el asignado en el inventario)
Operación (entrada/salida)
Fecha y hora de la operación
Emisor o receptor autorizado
Forma de envío
Comentarios

1.4. Borrado y destrucción de los soportes

Todos los usuarios deben garantizar un uso responsable de los soportes que contienen información de los SI de la US, contengan o no datos personales, debiendo eliminar de forma segura la información corporativa contenida en ellos una vez finalizada su función.

En caso de reutilizar un soporte para otra información, el borrado será proporcionado a la clasificación de la información que ha contenido. Se borrará el soporte utilizando productos certificados siempre que sea posible y siguiendo las recomendaciones del NIST SP 800-88 conforme a la Guía CCN-STIC 804. El Responsable de la Información borrada registrará la baja del soporte y el responsable de la nueva información registrará el alta con un nuevo código.
En caso de que se detecte la necesidad de destrucción del soporte extraíble (por avería, porque el soporte no permita un borrado seguro o por mandato legal como en el caso de datos de carácter personal) el usuario debe avisar al Responsable de la Información correspondiente. El responsable debe registrar la baja del soporte y proceder a su destrucción segura siguiendo las directrices de la Guía CCN-STIC 804, con el fin de evitar un posible acceso indebido a la información contenida.
En caso de obsolescencia, el responsable procederá a la destrucción del soporte y anotará su baja.

1.5. Control de acceso a los soportes

Si el soporte contiene datos de carácter personal, la autorización para su uso deberá ser otorgada por el responsable del tratamiento cuyos datos vayan a ser almacenados en el soporte. El responsable del tratamiento será quien gestione el control de acceso mediante el registro habilitado a tal fin. En todo caso, el procedimiento a seguir dependerá del nivel de protección de los datos y queda establecido en la Política de Protección de Datos.

1.6. Custodia de la información albergada en soportes

El usuario deberá:

Asegurar la custodia de dichos soportes y evitar dejarlos conectados a los equipos informáticos o sobre la mesa de trabajo cuando no se utilicen, debiendo quedar siempre a resguardo del acceso de cualquier otra persona no autorizada.
Garantizar que se respetan las exigencias de mantenimiento del fabricante, en especial, en lo referente a temperatura, humedad y otros agresores medioambientales.

En el caso de pérdida de un soporte o de cualquier otro incidente ocurrido con la información almacenada en el mismo, se deberá poner inmediatamente en conocimiento del Responsable de la Información, quien lo anotará en el registro de incidentes de seguridad y procederá a ejecutar un plan de respuesta al incidente, tomando las acciones oportunas.

1.7. Servicios electrónicos corporativos

Para la entrada/salida de información corporativa de los SI de la US a través de redes de comunicación, especialmente si la información es reservada, confidencial o contiene datos de carácter personal, sólo deben utilizarse los servicios electrónicos corporativos dispuestos por la US, tales como correo electrónico, carpetas compartidas o servicios de gestión documental y colaborativos, quedando totalmente prohibida la utilización de soluciones ajenas a la US.

Se puede utilizar indistintamente una solución corporativa u otra para el almacén o el intercambio de información, teniendo en cuenta que existen límites en los tamaños de los ficheros o documentos a intercambiar.

La autorización de intercambio de información entre emisores y receptores de información corporativa constará en los acuerdos de servicio entre unidades administrativas de la US, o en los contratos con las empresas prestatarias de servicios si son externos. Los logs de los servicios electrónicos corporativos harán las funciones de registro de transferencias de información.

Las medidas de seguridad exigibles a los accesos a los datos de carácter personal a través de redes de comunicaciones deberán garantizar un nivel de seguridad equivalente al nivel correspondiente a los accesos en modo local, cumpliendo, en todo caso, las medidas y normas para la información en tránsito por vía electrónica conforme a la Política de Protección de Datos.

1.8. Cifrado de la información

Si la información que manejan los SI de la US contiene datos de carácter personal, los responsables del tratamiento deberán adoptar las medidas necesarias para impedir cualquier recuperación indebida de la información almacenada en los dispositivos o a través del intercambio de información por medios electrónicos:

La información se cifrará tanto durante su almacenamiento como durante su transmisión. Sólo estará en claro mientras se está haciendo uso de ella.
Para proteger la confidencialidad en las comunicaciones, se emplearán redes privadas virtuales cuando la comunicación discurra por redes fuera del propio dominio de seguridad y se emplearán algoritmos acreditados por el Centro Criptológico Nacional (en adelante CCN).
Para el uso de criptografía en los soportes de información, se aplicarán mecanismos criptográficos que garanticen la confidencialidad y la integridad de la información contenida y que estén acreditados por el CCN y, preferentemente, productos conformes a normas europeas o internacionales que estén certificados por entidades independientes de reconocida solvencia.

En todo caso, siempre que la información contenga datos de carácter personal, se actuará conforme a lo establecido en Política de Protección de Datos de la US.