identificación y autenticación

IbéricaMultimedia le ofrece un asesoramiento integral  para cubrir todas las necesidades de las empresas o entidades,  relativas a la adecuada gestión y aplicación de toda la normativa vigente de la LOPD.

En cuanto la identificación y autentificación, el Reglamento establece para el Nivel Medio lo siguiente:

1º.- El responsable del fichero establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo usuario que intente acceder al sistema de información y la verificación de que está autorizado.

2º.- Se limitará la posibilidad de intentar reiteradamente el acceso no autorizado al sistema.

Así, la medida descrita en el art.11 para el Nivel Básico se ve aumentada; es necesaria la identificación y autenticación de forma inequívoca y personalizada de todos los usuarios del sistema. Ello supone que cada usuario del sistema tendrá un nombre de usuario específico y una contraseña asociada al mismo, de uso personal e intransferible, siendo verificada su autorización cada vez que acceda al sistema.

Además, se establece por el Reglamento la obligación de adoptar medidas que impidan el intento reiterado de acceso no autorizado al sistema. Este bloqueo, que deberá operar tanto para accesos en modo local como en red, permite al responsable de seguridad evitar vulnerabilidades, estableciendo controles de seguridad para que usuarios no autorizados utilicen/averigüen contraseñas de acceso.

Estos procedimientos de identificación y autenticación, así como el de bloqueo y desbloqueo de cuentas de usuario, deberán recogerse en el Documento de Seguridad.

E) Control de acceso físico (art.19).

Establece el Reglamento que exclusivamente el personal autorizado en el Documento de Seguridad podrá tener acceso a los locales en donde se encuentren ubicados los sistemas de información con datos de carácter personal. Este control de acceso físico deberá ser activado para los denominados Centros de Procesamiento de Datos o aquellas salas en las que se ubiquen los Servidores Centrales.

Aunque el Reglamento no establece que tipo de medidas de seguridad deberán ser implantadas para controlar el acceso físico, como mínimo, serán las siguientes:

  • Acceso restringido a personal autorizado, mediante claves, llaves o tarjetas electrónicas.
  • Sistemas redundantes de alimentación.
  • Sistemas de refrigeración.
  • Sistemas contra-incendios específicos para equipos electrónicos.
  • Armarios ignífugos.
  • Además, deberá incorporarse al documento de Seguridad un listado, debidamente actualizado, de las personas autorizadas para acceder a este tipo de ubicaciones.

F) Gestión de Soportes (art.20).

Establece el Reglamento que deberá de establecerse un sistema de registro de entrada de soportes informáticos que permita, directa e indirectamente, conocer el tipo de soporte, la fecha y hora, el emisor, el número de soportes, el tipo de información que contienen, la forma de envío y la persona responsable de la recepción que deberá estar debidamente autorizada.

Igualmente, se dispondrá de un sistema de registro de salida de soportes informáticos que permita, directa o indirectamente, conocer el tipo de soporte, la fecha y hora, el destinatario, el número de soportes, el tipo de información que contienen, la forma de envío y la persona responsable de la entrega que deberá estar debidamente autorizada.

Así, incorporando estas medidas a las indicadas en el art.13 para los ficheros de Nivel Básico encontramos que deberán establecerse dos tipos de Registros para los soportes informáticos; uno de entrada y otro de salida. Esta medida supone la implantación por el responsable del fichero de nuevos procedimientos y normas de gestión y calidad, estableciendo un canal de autorizaciones para la entrada/salida de soportes informáticos que contengan datos de carácter personal de nivel medio.

El Registro de Entrada de soporte informáticos deberá permitir conocer:

a) Tipo de soporte.

b) Fecha y hora.

c) Emisor.

d) Número de soportes.

e) Tipo de información que contienen.

f) Forma de envío.

g) Persona responsable de la recepción que deberá estar autorizada.

El Registro de Salida de soportes Informáticos deberá permitir conocer:

a) Tipo de soporte.

b) Fecha y hora.

c) Destinatario.

d) Número de soportes.

e) Tipo de información que contienen.

f) Forma de envío.

g) Persona responsable de la entrega que deberá estar autorizada.

Estos Registros y el procedimiento de gestión y autorización de entrada/salida deberán quedar definidos en el Documento de Seguridad, incorporándose un modelo de autorización de entrada y salida de soportes como anexos, siendo las autorizaciones emitidas conservadas junto con toda la documentación relativa a los ficheros.

Además, el Reglamento establece en el apartado 3 del art.20 que cuando un soporte vaya a ser desechado o reutilizado, se adoptarán las medidas necesarias para impedir cualquier recuperación posterior de la información almacenada en él, previamente a que se proceda a su baja en el inventario.

Cuando los soportes vayan a salir fuera de los locales en que se encuentren ubicados los ficheros como consecuencia de operaciones de mantenimiento, se adoptarán las medidas necesarias para impedir cualquier recuperación indebida de la información almacenada en ellos; principalmente a través de mecanismos de cifrado de los datos.