Ley 581 para la Tutela de Datos Personales en el Estado de Veracruz Dirección General de Tecnología de Información Junio 2013

Contenido Categorización Tipos de Seguridad Medidas de seguridad Responsabilidades Acciones inmediatas

Procedimientos Administrativos/ jurisdiccionales Nombre, domicilio, teléfono particular, teléfono celular, firma, RFC, CURP, matrícula del Servicio Militar Nacional, No. pasaporte, lugar y fecha de nacimiento, nacionalidad, edad, fotografía y demás análogos Datos personales Correo electrónico no oficial, dirección IP, dirección MAC, nombre del usuario, contraseñas, firma electrónica o cualquier otra identificación electrónica Datos Personales Identificativos Electrónicos Laborales Patrimoniales Procedimientos Administrativos/ jurisdiccionales Académicos Tránsito y migración Salud Biométricos Sensibles Públicos Categorización Doctos. reclutamiento, selección, nombramiento, incidencia, capacitación, actividades extracurriculares, referencias laborales, referencias personales, solicitud de empleo, hoja de servicio y demás análogos Origen étnico o racial, características morales o emocionales, ideología y opiniones políticas, creencias, convicciones religiosas, filosóficas, pertenencia a sindicatos, seguridad, prevención, persecución delitos y preferencia sexual Bienes muebles e inmuebles, información fiscal, historial crediticio, ingresos y egresos, cuentas bancarias, seguros, fianzas, servicios contratados, referencias personales y demás análogos Huellas dactilares, ADN, geometría de la mano, características de iris, retina y demás análogos Expediente clínico, referencias o descripción de sintomatologías, detección de enfermedades, incapacidades médicas, discapacidades, intervenciones quirúrgicas, vacunas, consumo de estupefacientes, uso de aparatos oftalmológicos, ortopédicos, auditivos, prótesis, estado físico o mental de la persona Ficheros de control de acceso a los edificios Videovigilancia-videoconferencia-declarativa de privacidad Checada dactilar Nuevo ingreso: datos socioeconómicos, identificativos, académicos, de salud Servicio médico: expediente clínico Evitar localizaciones por nombre y apellidos mediante buscadores Persona sujeta a procedimiento administrativo seguido en forma de juicio o jurisdiccional en materia laboral, civil, penal, fiscal, administrativa o de cualquier otra rama del Derecho Información relativa al tránsito de las personas dentro y fuera del país, así como información migratoria Trayectoria educativa, calificaciones, títulos, cédula profesional, certificados, reconocimientos y demás análogos

Tipos de Seguridad Física Lógica De desarrollo y aplicaciones De cifrado De comunicaciones y redes Art. 29 de la ley

Medidas de Seguridad Nivel Alto. Ideología, religión, creencias, política, origen étnico, salud, biométricos, genéticos, vida sexual, policiales, de seguridad, prevención, investigación y persecución de delitos: 12. Distribución de soportes 13. Registro de acceso 14. Telecomunicaciones Nivel Medio. Infracciones administrativas o penales, hacienda pública, servicios financieros, datos patrimoniales, evaluación de la personalidad del individuo: 8. Responsable de seguridad 10. Pruebas con datos reales 9. Auditoría 11. Control de acceso físico Documento de Seguridad (actualizar anualmente) - Funciones y obligaciones de quienes intervienen en los SDP(difusión) CAPITULO VII Artículo 30 de la ley, fracción II El documento de seguridad deberá actualizarse anualmente o cuando se produzcan cambios relevantes en el tratamiento, que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas. Los datos de nivel alto se prohibe su tratamiento con las excepciones establecidas en la ley en el art. 8 El rela@vo a las medidas generales de seguridad cuya aplicación es obligatoria para todos los sistemas de datos personales. Nivel Básico. Identificativos, electrónicos, laborales, académicos, tránsito y migración: Documento de Seguridad Funciones y obligaciones de quienes intervienen Registro de incidentes Identificación y autentificación Control de acceso Gestión de soportes Copias de respaldo y recuperación

Medidas de Seguridad Documento de Seguridad Nombre del SDP Cargo y adscripción del responsable del SDP Ámbito de aplicación Estructura y descripción del SDP Especificación detallada de la categoría de datos personales Funciones y obligaciones del personal que intervenga en el tratamiento de los sistemas de datos personales; Medidas, normas, procedimientos y criterios enfocados a garantizar el nivel de seguridad exigido por el artículo 30 fracción II de la Ley y los presentes Lineamientos; Procedimientos de notificación, gestión y respuesta ante incidencias; Procedimientos para la realización de copias de respaldo y recuperación de los datos, para los SDP automatizados Procedimientos para la realización de auditorías, en su caso. CAP II Lineamientos Documento de seguridad: Instrumento que establece las medidas y procedimientos administrativos, físicos y técnicos de seguridad aplicables a los sistemas de datos personales necesarios para garantizar la protección, confidencialidad, integridad y disponibilidad de los datos contenidos en dichos sistemas El responsable del sistema de datos personales elaborará, difundirá e implementará la normativa de seguridad mediante el documento de seguridad

Responsabilidades Artículo 32. El responsable del área informática de cada ente público deberá integrarse de manera obligatoria al Comité de Información de Acceso Restringido, el que deberá: Elaborar el análisis de riesgos de las TIC Desarrollar metodologías y procesos específicos relativos a la seguridad y privacidad de la información Desarrollar el proceso de administración de la continuidad de las operaciones de las TIC ante la presencia de incidentes relativos a la seguridad de la información Proponer al comité la política de seguridad de la información y sus objetivos, de conformidad con los lineamientos que al efecto emita el Instituto, así como observar el cumplimiento de los mismos Ley Artículo 32. El responsable del área informática de cada ente público deberá integrarse de manera obligatoria al Comité de Información de Acceso Restringido Bases de datos almacenadas o soportadas deberán incluirse todos aquellos tecnólogos involucrados en el desarrollo de sistemas

Responsabilidades Establecer, operar, monitorear, mantener y mejorar un sistema de administración de seguridad de la información Monitorear cambios significativos en los riesgos que afectan a los recursos de información frente a las amenazas más importantes Garantizar que la seguridad sea parte del proceso de planificación de la información Conformar grupos de trabajo que permitan garantizar la seguridad y privacidad de la Universidad Promover la difusión de la cultura de seguridad y privacidad de la información al interior de la Universidad Art. 32 Plan de Contingencia Informático para la preservación de la Información Sistema de Gestión de la Seguridad de la Información Artículo 33. Las medidas de seguridad a las que se refiere el presente Capítulo constituyen mínimos exigibles, por lo que el ente público adoptará las medidas adicionales que estime necesarias… Por la naturaleza de la información, las medidas de seguridad que se adopten serán consideradas confidenciales y únicamente se Comunicará al Instituto, para su registro, el Nivel de seguridad aplicable. Los entes públicos podrán hacer referencia a estándares, normas, marcos de referencia y buenas prácticas estatales, nacionales e internacionales… ISO 27001, COBIT, ITIL, MAAGTICSI

Acciones inmediatas 1. Difundir la Ley y lineamientos aplicables 2. Elaborar un inventario inicial de SDP 3. Establecer funciones y obligaciones de cada rol 4. Establecer SDP finales para emisión de acuerdo de creación 5. Emitir Declarativas de Privacidad aplicables 6. Realizar la inscripción de los SDP en el Registro Electrónico de Sistemas de Datos Personales-Veracruz 7. Análisis de riesgos de SDP 8. Realizar el análisis de brecha 9. Plan de trabajo para implementación de medidas de seguridad conforme al análisis (plan de contingencia, SGSI) 10. Documento de seguridad 11. Capacitación al personal que lleve a cabo el tratamiento de DP 12. Revisiones/ auditorías (diferencia de las medidas de seguridad existentes y aquéllas faltantes que resultan necesarias para la protección de los datos personales) Dar lectura puntual a la Ley 581, los lineamientos y el reglamento Realizar el levantamiento de un inventario de los sistemas que contienen Datos personales desde la perspectiva de TI (nombre, responsable, nivel) Involucrar a los Responsables de SDP Elaborar la declarativa de privacidad que aplica exclusivamente a la DGTI(VC, Ficheros de acceso, Portal Institucional, portales de servicio, páginas personales, etc.). Apoyar a los RSDP/USIIU en el análisis para la integración de los SDP y el llenado del layout necesario para dar de alta el SDP en el acuerdo y en el RESDAPER Iniciar con actividades relativas al cumplimiento de las responsabilidades establecidas en el Art. 32 de la ley 581