LOPD Sistemas Operativos

Slides:



Advertisements
Presentaciones similares
PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL JOSÉ MANUEL MORIANO DE LAS HERAS SECRETARIO JUNTA DE GOBIERNO COLEGIO OFICIAL DE PODÓLOGOS DEL PAÍS VASCO EUSKADIKO.
Advertisements

LEY DE PROTECCIÓN DE DATOS
Tratamiento de datos personales es aquella operación, automatizada o no, que permite la recogida, grabación, conservación, elaboración, modificación, bloqueo.
PROTECCION DE DATOS DE CARÁCTER PERSONAL
Plan de Seguridad del Operador
Cumplimiento de la Ley de Protección de Datos en la PYME Centro de Formación Cámara de Comercio e Industria de Zaragoza 3 de mayo de 2011 Javier Prenafeta.
Las ETT ( Empresas de Trabajo Temporal)
El Reglamento de Protección de datos: Responsabilidades
PROTECCION DE DATOS DE CARÁCTER PERSONAL
VIII Foro sobre Protección de Datos de Salud
Descripción de la solución para la adaptación a la L. O. P. D
ADAPTACIÓN A LA LEY ORGANICA DE PROTECCIÓN DE DATOS
Auditoría Informática
Presentación Nivel básico: Adaptación a la Legislación sobre Protección de Datos de Carácter Personal SAE Consultores Padre Claret, 2. Madrid
Salvador Huelin Martínez de Velasco
Convenio para realizar la
Talcahuano 758, piso 6 B (C1013AAP) Buenos Aires, República Argentina Tel: (54 11) Fax: (54 11) Web:
Información sobre la adaptación a la Ley Orgánica 15/1999 del 13 de Diciembre de Protección de datos de Carácter Personal a todos los asociados a la Asociación.
DGE Bruxelles Internacional. Contenidos Normativa aplicable Conceptos básicos Clasificación de datos de carácter personal Obligaciones del titular de.
LOPD BBDD y Gestión Documental Juan Luis García Rambla MVP Windows Security
LOPD Introducción Juan Luis García Rambla MVP Windows Security
NORMAS Y REGLAMENTACIONES APLICABLES A TECNOLOGÍAS INFORMÁTICAS Juan Luis García Rambla MVP Windows Security
Foro de Seguridad 2010 RedIRIS Universidad Autónoma de Madrid 23 de abril de 2010 Emilio Aced Félez Subdirector General de Registro de Ficheros y Consultoría.
La Ley Orgánica de Protección de Datos de Carácter Personal
Título de la presentación Comentarios y consecuencias Real Decreto 1720/2007 Reglamento que desarrolla la Ley Orgánica 15/1999 de protección de datos de.
Sistema de Cuentas Tributarias Sistema de Cuentas Tributarias Marzo 2008.
"Ley Orgánica de Protección de Datos de Carácter Personal "
PROTECCIÓN DE DATOS EN LA MEDIACIÓN
1 RG 1361AFIP TITULO I: EMISIÓN Y ALMACENAMIENTO ELECTRONICO DE COMPROBANTES TITULO II: ALMACENAMIENTO ELECTRONICO DE REGISTRACIONES DE COMPRO- BANTES.
PRINCIPIOS RECTORES. De manera general los principios son las bases de todo ordenamiento legal, que sirven como criterios orientadores e interpretativos.
FORMACION Protección de datos de carácter personal (LOPD) 07/08
Ley N° 30024, Ley que crea el Registro Nacional de Historias Clínicas Electrónicas RENHICE.
PLAN ESTRATÉGICO GEICAM CLAVES PARA LA CORRECTA MONITORIZACIÓN Y APLICACIÓN DE PRINCIPIOS BÁSICOS DE LA LOPD EN ENSAYOS CLINICOS Simposio Satélite.
Salvador Huelin Martínez de Velasco
Salvador Huelin Martínez de Velasco 1 TEMA 1 LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y REGLAMENTO DE DESARROLLO.
Regulación Básica: Artículo 18.4 Constitución Española (Derecho Fundamental) Ley Orgánica 15/1999, de 13 diciembre, de Protección de Datos de Carácter.
Guía rápida de la Protección de Datos Personales en España
Módulo VIII. Medidas de seguridad
Salvador Huelin Martínez de Velasco 1 TEMA 3 LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y REGLAMENTO DE DESARROLLO.
GUÍA de Protección de Datos para Responsables de Ficheros
Protección de datos, una materia pendiente.
Confidencialidad de los datos personales
Informe de cumplimiento de la LOPD en Hospitales
Ley Orgánica de Protección de Datos
Ley N° 30024, Ley que crea el Registro Nacional de Historias Clínicas Electrónicas RENHICE.
LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
1 Propuesta De Prestación De Servicios Para: Propuesta De Prestación De Servicios Para: en colaboración con.
ASPECTOS JURÍDICOS DEL REGLAMENTO CONTRA LA CONTAMINACIÓN ACÚSTICA EN ANDALUCÍA D.G. CAMBIO CLIMÁTICO Y MEDIO AMBIENTE URBANO SEVILLA. FEBRERO 2012.
GERENCIA DEL HOSPITAL UNIVERSITARIO DE CEUTA. PROGRAMA DE FORMACIÓN CONTINUADA DEL TÍTULO DEL CURSO: Objetivos: Se pretende estudiar las técnicas.
Latinoamérica América Europa Asia. Leyes de seguridad informática a nivel de Latinoamérica: Debido a la orientación que hemos elegido darle a este trabajo.
LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y REGLAMENTO DE MEDIDAS DE SEGURIDAD Salvador Huelin Martínez de Velasco 1.
“Ley Orgánica de Protección de Datos”
Caso práctico de aplicación de la LOPD
Cuentas de usuarios y grupos en windows 2008 server
Sesión de Videoformación para aplicar las medidas de Seguridad en materia de Protección de Datos Personales Servicio Integral de Protección de Datos del.
Javier Prenafeta Rodríguez
El art. 24 del Reglamento de Medidas de Seguridad. La perspectiva de Oracle como fabricante de software y la experiencia en la Junta de Castilla y León.
Salvador Huelin Martínez de Velasco 1 TEMA 7 LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y REGLAMENTO DE DESARROLLO.
Significa tomar todas las medidas necesarias (seguridad, capacitación, etc.), a fin de proteger la información de datos personales de quienes tengan con.
POLÍTICAS Y PROCEDIMIENTOS ADMINISTRATIVOS RELACIONADOS CON LA MOTIVACIÓN Y LA FORMACIÓN
Universidad Latina CONTROL INTERNO.
Solicitudes de Acceso, rectificación o cancelación de datos personales
Aspectos generales de la LOPD / ASESORÍA FINANCIERA
Esquema Nacional de Seguridad
1 Los tratamientos de datos en las Universidades y las Medidas de Seguridad del Reglamento de Desarrollo de la LOPD Mª Goretti López Deltell Consultora.
Nuevo marco normativo de los archivos y la gestión documental en la Administración General del Estado Aplicación de las Normas de Interoperabilidad en.
IMPLICACIONES RELATIVAS A LA LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL MESONERO ROMANOS ABOGADOS.
EXPERIENCIA DEL DPTJI DEL GOBIERNO DE ARAGÓN EN LA ASESORÍA EN MATERIA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL La Protección de Datos de Carácter Personal.
Novedades del Reglamento de desarrollo de la LOPD Seguridad en tratamientos en soporte no automatizado III Jornada Protección de Datos en la Educación.
El derecho fundamental a la educación y la actividad prestacional de los centros educativos públicos en el Estado social. Artículo 27 CE:
Transcripción de la presentación:

LOPD Sistemas Operativos HOL-LPD01 LOPD Sistemas Operativos Juan Luis García Rambla MVP Windows Security jlrambla@informatica64.com

Agenda Introducción. LOPD y el Reglamento. ¿Quién está supeditado a la ley? Las medidas de seguridad por niveles. Los Datos de Carácter Personal en entornos Windows.

Introducción

¿Qué es la LOPD? Son una serie de obligaciones legales a personas físicas y jurídicas con ficheros de carácter personal. Determina la obligatoriedad de las empresas a garantizar la protección de dichos datos. Determina además las funcionalidades de control para el cumplimiento de la misma.

LOPD La LEY ORGÁNICA 15/1999, de Protección de Datos de Carácter Personal (LOPD) con fecha del 13 de Diciembre de 1999, marca la entrada en vigor de esta normativa. REAL DECRETO 195/2000, 11 de febrero, por el que se establece el plazo para implantar las medidas de seguridad de los ficheros automatizados previstas por el Reglamento aprobado por el Real Decreto 994/1999, del 11 de junio de 1999.

Reglamento de Seguridad El reglamento establece una serie de mecanismos y procedimientos para la aplicación de la normativa con respecto a los datos de Carácter Personal. Entre otras cuestiones recoge: Derechos protegidos. Ámbitos de aplicación. Niveles de seguridad. Medidas de seguridad aplicables a ficheros automatizados. Medidas de seguridad aplicables a ficheros no automatizados. Procedimiento AGPD

El nuevo reglamento de seguridad Hasta este año, el reglamento en vigor existente, databa de fecha 11 de Junio de 1999 y como Real Decreto 994/1999, establecía el desarrollo de las medidas de seguridad aplicables a la LORTAD. El nuevo reglamento de Seguridad fue aprobado en congreso de Ministros el 21 de Diciembre de 2007, estableciendo la entrada en vigor 3 meses después de la publicación en el BOE. Esta publicación se ha efectuado con fecha de 19 de Enero de 2008, en el BOE 17/2008, con lo que la entrada en vigor será efectiva el 19 de Abril.

Plazos de entrada en vigor (I) Los ficheros, tanto automatizados como no automatizados, creados con posterioridad a la fecha de entrada en vigor del presente real decreto deberán tener implantadas, desde el momento de su creación, la totalidad de las medidas de seguridad reguladas en el mismo. En el plazo de un año desde la entrada en vigor del presente real decreto deberán notificarse a la Agencia Española de Protección de Datos las modificaciones que resulten necesarias en los códigos tipo inscritos en el Registro General de Protección de Datos para adaptar su contenido a lo dispuesto en el título VII del mismo.

Plazos de entrada en vigor (II) En el plazo de un año desde su entrada en vigor, deberán implantarse las medidas de seguridad de nivel medio exigibles a los siguientes ficheros: 1.º Aquéllos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias. 2.º Aquéllos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social. 3.º Aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos, respecto de las medidas de este nivel que no fueran exigibles conforme a lo previsto en el artículo 4.4 del Reglamento de Medidas de seguridad de los ficheros automatizados de datos de carácter personal, aprobado por Real Decreto 994/1999, de 11 de junio.

Plazos de entrada en vigor (III) En el plazo de un año desde su entrada en vigor deberán implantarse las medidas de seguridad de nivel medio y en el de dieciocho meses desde aquella fecha, las de nivel alto exigibles a los siguientes ficheros: 1.º Aquéllos que contengan datos derivados de actos de violencia de género. 2.º Aquéllos de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y a los datos de localización.

Plazos de entrada en vigor (IV) Respecto de los ficheros no automatizados que existieran en la fecha de entrada en vigor del presente real decreto: a) Las medidas de seguridad de nivel básico deberán implantarse en el plazo de un año desde su entrada en vigor. b) Las medidas de seguridad de nivel medio deberán implantarse en el plazo de dieciocho meses desde su entrada en vigor. c) Las medidas de seguridad de nivel alto deberán implantarse en el plazo de dos años desde su entrada en vigor.

¿Quién está supeditado a la Ley?

¿Qué es un dato de carácter personal? La propia definición que en el Artículo 5 del Reglamento, establece que es un Dato de Carácter Personal: f) Datos de carácter personal: Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables. k) Fichero: Todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. o) Persona identificable: toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados.

¿Qué está eximido de la LOPD? El régimen de protección de los datos de carácter personal que se establece en la Ley Orgánica no será de aplicación: a. A los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas. b. A los ficheros sometidos a la normativa sobre protección de materias clasificadas. c. A los ficheros establecidos para la investigación del terrorismo y de formas graves dedelincuencia organizada. No obstante, en estos supuestos el responsable del fichero comunicará previamente la existencia del mismo, sus características generales y su finalidad a la Agencia de Protección de Datos.

La medidas de seguridad por niveles

Niveles de seguridad La LOPD contempla la aplicación de medidas en función del contenido de los ficheros. La LOPD diferencia 3 niveles de seguridad: Básico. Medio. Alto Las diferentes medidas de seguridad vienen definidas por el tipo de datos en el fichero.

Nivel Básico Todos los ficheros o tratamientos automatizados de datos de carácter personal deberán adoptar las medidas de seguridad calificadas de nivel básico.

Nivel Medio Los relativos a la comisión de infracciones administrativas o penales. Aquellos cuyo funcionamiento se rija por el artículo 29 de la Ley Orgánica 15/1999, de 13 de diciembre. Aquellos de los que sean responsables Administraciones Tributarias y se relacionen con el ejercicio de sus potestades tributarias. Aquéllos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros. Aquéllos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias en materia de recaudación. Aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.

Nivel Alto Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual. Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas. Aquéllos que contengan datos derivados de actos de violencia de género. Aquéllos de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y a los datos de localización.

Medidas de nivel básico Régimen de funciones y obligaciones del personal. Registro de incidencias. Control de acceso. Gestión de soportes. Identificación y autentificación. Copias de respaldo y recuperación .

Medidas de nivel medio Medidas de seguridad de nivel básico Responsable de Seguridad Auditoría Gestión de soportes y documentos Identificación y autenticación Control de acceso físico Registro de incidencias

Medidas de nivel alto Medidas de seguridad de nivel básico y medio Gestión y distribución de soportes Copias de respaldo y restauración Registro de accesos Telecomunicaciones

Los datos de Carácter Personal en Entornos Windows

Aplicación en Sistemas Operativos La aplicación de las medidas de seguridad vendrán determinadas por las operaciones presentas en el sistema o servicios involucrados. Describiremos algunos de los mecanismos de seguridad definidos en el Reglamento de Seguridad y la aplicación en los Sistemas Operativos.

Régimen de funciones y obligaciones del personal (Nivel Básico) Artículo 89. Funciones y obligaciones del personal. 2. El responsable del fichero o tratamiento adoptará las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento. A través de las directivas de Seguridad Local pueden determinarse un texto y un título con objeto de hacerle constar la existencia de una Norma de seguridad y la ruta para poder acceder a ella. Configuración de seguridad – Directivas locales – Opciones de seguridad.

Control de acceso (Nivel Básico) Artículo 91. Control de acceso. 1. Los usuarios tendrán acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones. 2. El responsable del fichero se encargará de que exista una relación actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos. 3. El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados. 4. Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los recursos, conforme a los criterios establecidos por el responsable del fichero. 5. En caso de que exista personal ajeno al responsable del fichero que tenga acceso a los recursos deberá estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio. La aplicación de estos mecanismos pueden establecerse mediante la adopción de Listas de Control de Acceso (ACL) a través del sistema de ficheros NTFS. Para cada objeto el descriptor incluye una lista de control de acceso discrecional (Discretionary Access Control List o DACL) que se crea por la unión de las distintas entradas de control de acceso (Access Control Entries o ACE).

Gestión de soportes y documentos Artículo 92. Gestión de soportes y documentos. 3. En el traslado de la documentación se adoptarán las medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte. Aunque no se exija explícitamente sistemas de cifrado, mecanismos como la aplicación de EFS o el uso de Bitlocker (en sistemas Windows Vista o Windows Server 2008), garantizan la confidencialidad de los datos, en caso de que estos salgan fuera de los locales donde se almacenan habitualmente.

Identificación y autenticación (Nivel Básico) Artículo 93. Identificación y autenticación. 1. El responsable del fichero o tratamiento deberá adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios. 2. El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado. 3. Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad. 4. El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras estén vigentes, se almacenarán de forma ininteligible. La autenticación viene definida por los mecanismos de validación Local o de Dominio. Los Hashes de las contraseñas almacenados garantizan la confidencialidad. Mediante directivas puede establecerse los mecanismos para los cambios de las contraseñas.

Identificación y autenticación (Nivel Medio) Artículo 98. Identificación y autenticación. El responsable del fichero o tratamiento establecerá un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información. Mediante directivas pueden adoptarse mecanismos para establecer los bloqueos de cuenta como metodología.

Gestión y distribución de soportes (Nivel Alto) Artículo 101. Gestión y distribución de soportes. La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o manipulada durante su transporte. Mecanismos como la aplicación de EFS o el uso de Bitlocker (en sistemas Windows Vista o Windows Server 2008), garantizan la confidencialidad de los datos, en caso de que estos salgan fuera de los locales donde se almacenan habitualmente.

Registro de accesos (Nivel Alto) Artículo 103. Registro de accesos. 1. De cada intento de acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. 2. En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido. 3. Los mecanismos que permiten el registro de accesos estarán bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivación ni la manipulación de los mismos. 4. El período mínimo de conservación de los datos registrados será de dos años. El registro de incidencias queda establecido a través de las auditorías de seguridad.

Auditoría de Ficheros y carpetas (Nivel Alto) Queda definida mediante las directivas de acceso a objetos. La definición se establece mediante SACL para cada objeto correspondiente. Dicho control quedará igualmente determinada para los objetos del Directorio Activo.

Protección de los registros (Nivel Alto) Una de las necesidades consiste en salvaguardar los registros. Estos pueden quedar establecidos en el caso de la consolidación de los Logs. En el resto de escenarios la protección quedará determinada mediante el fichero correspondiente a los Eventos de seguridad almacenados en la ruta por defecto: C:\windows\system32\config La determinación de la cantidad de datos almacenados viene determinado por el tamaño definido por el fichero. En caso de necesidad podríamos evitar continuar almacenando datos que sobrescribieran a otros mediante directivas de opciones de seguridad.

Telecomunicaciones (Nivel Alto) Artículo 104. Telecomunicaciones. Cuando, conforme al artículo 81.3 deban implantarse las medidas de seguridad de nivel alto, la transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros. Mecanismos de protección como IPSEC, VPN o la adopción de la solución PEAP en redes Wifi pueden garantizar una correcta aplicación de estos mecanismos de seguridad.

Boletín quincenal TechNews

Seguros con Forefront www.forefront-es.com

Contactos Informática 64 Juan Luis García Rambla http://www.informatica64.com i64@informatica64.com +34 91 146 20 00 Juan Luis García Rambla jlrambla@informatica64.com

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2025 SlidePlayer.es Inc. All rights reserved.