Medidas técnicas y organizativas (MTO) de Arthrex
1. Control de acceso a las instalaciones
El término “control de acceso” hace referencia al acceso físico de los individuos a edificios e instalaciones en los que se usan sistemas TI para el tratamiento de datos personales. Puede tratarse, por ejemplo, de centros de datos donde se encuentran los servidores web, servidores de aplicaciones, bases de datos, ordenadores centrales y sistemas de almacenamiento, así como de despachos donde los empleados utilizan ordenadores de sobremesa.
|
Medidas técnicas
|
Medidas organizativas
|
| • Medidas técnicas adecuadas (por ejemplo, sistemas de detección de intrusiones, sistemas de entrada de seguridad unipersonal y sistemas de bloqueo) que se implementan para salvaguardar zonas de seguridad y sus puntos de acceso. |
• Las necesidades de protección de un edificio o una sala se determinan en base a los sistemas de tratamiento de datos que se encuentran en ellos.
• Se define un grupo de personas con autorización de acceso general y se limitan las autorizaciones de acceso a áreas relevantes para la seguridad a las estrictamente necesarias (“principio de mínima autorización”); se deniega el acceso a todas aquellas personas que no dispongan de una autorización.
• Se ha establecido un proceso para solicitar, aprobar, publicar, gestionar y aceptar la devolución de medios de acceso, o para retirar derechos de acceso (incluyendo la gestión de llaves, ID visuales, transpondedores, tarjetas con chip, etc.); se registran todas las llaves.
• Se ha establecido un proceso para controlar el acceso de personas externas a la empresa, tales como invitados y proveedores; se lleva un registro de los visitantes externos; si es necesario mejorar la protección, se acompañará y supervisará al personal ajeno a la empresa durante la realización de su trabajo. |
2. Control de acceso a hardware
Medidas para prevenir que personas no autorizadas accedan o usen hardware empleado para el tratamiento de datos personales:
|
Medidas técnicas
|
Medidas organizativas
|
|
• El acceso a sistemas de tratamiento de datos solo es posible después de que una persona autorizada se haya identificado y haya sido autenticada con éxito (por ejemplo, con un nombre de usuario y contraseña o una tarjeta con chip/PIN), empleando para ello medidas de seguridad avanzadas.
• Una autenticación sólida se basa siempre en varios (al menos 2) factores, como algo poseído o algo conocido, o se basa en un factor de un solo uso que es específico del usuario (normalmente, procesos biométricos); entre los ejemplos se incluyen:
• Tarjeta con chip con certificados y PIN
• Contraseñas de un solo uso (generador de OTP, SMS TAN, chip TAN) y contraseña de usuario
• Preguntas de seguridad
• Todos los intentos de acceso correctos y fallidos se registran (ID de usuario, ordenador, dirección IP utilizados) y se archivan en un documento de conformidad de la auditoría durante 1 año; se llevan a cabo evaluaciones periódicas mediante muestreo para detectar el uso inapropiado.
• Las credenciales de autenticación (como el ID de usuario y la contraseña) no deben comunicarse nunca por la red sin la adecuada protección.
• El acceso se bloquea tras repetidos intentos fallidos de autenticación; se ha establecido un proceso para reiniciar y desbloquear los ID de acceso bloqueados; los ID de usuario que no se utilizan durante un periodo de tiempo prolongado
• (un máximo de 180 días) se bloquean o inactivan automáticamente.
|
• El grupo de personas con autorización para acceder al sistema de TI debe limitarse al mínimo estrictamente necesario para poder llevar a cabo las tareas o funciones específicas de dichas personas dentro de la organización operativa existente.
• Las contraseñas deben seguir reglas de mínimos adecuadas (por ejemplo, una longitud y complejidad mínimas); las contraseñas deberán cambiarse cada cierto tiempo; las contraseñas iniciales deben cambiarse de forma inmediata; la implementación de los requisitos sobre la longitud, la complejidad y la validez de las contraseñas se garantiza mediante parametrizaciones técnicas. |
3. Control de acceso a datos (acceso limitado)
3.1. Derechos de acceso limitados
Medidas que garantizan que el acceso a los sistemas y a los datos se limita al personal autorizado que actúa dentro del alcance de su autorización:
|
Medidas técnicas
|
Medidas organizativas
|
• Las personas con autorización para acceder a los datos también deben identificarse y autenticarse en el sistema de tratamiento de datos en base a factores únicos verificables, tales como un ID y una contraseña.
• Todas las pantallas de los ordenadores y dispositivos se configuran en modo automático de salvapantallas protegido por contraseña.
• En la medida en que datos de varias partes se almacenen en la misma base de datos o se sometan a tratamiento con el mismo sistema de tratamiento de datos, se proporcionarán restricciones lógicas de acceso destinadas al tratamiento exclusivo de los datos para la parte afectada (tenencia múltiple).
• Medidas adicionales conforme a las secciones anteriores. |
• Un concepto de autorización (derechos de usuario y de administrador) garantiza que el usuario solo tenga acceso a los datos del sistema que necesita para completar la tarea correspondiente de acuerdo con la distribución interna de tareas de usuario y la separación de funciones; se definen reglas y procedimientos para crear, modificar y eliminar perfiles de autorización y roles de usuario de conformidad con las reglas de protección de datos; se regulan las responsabilidades.
• Los derechos de acceso se restringen en diversos niveles en función de la necesidad de conocimiento de acuerdo con una política por escrito de derechos de acceso.
• Independientemente de las restricciones técnicas, se dan instrucciones a los empleados para que no accedan a ningún dato que no necesiten para desempeñar su función.
• Las contraseñas deben seguir reglas de mínimos adecuadas (por ejemplo, una longitud y complejidad mínimas); las contraseñas deberán cambiarse cada cierto tiempo; las contraseñas iniciales deben cambiarse de forma inmediata; la implementación de los requisitos sobre la longitud, la complejidad y la validez de las contraseñas se garantiza mediante parametrizaciones técnicas.
• Los datos y archivos se destruyen o suprimen regularmente conforme a una política de retención y supresión de datos, de modo que su recuperación resulte imposible o no sea posible sin un esfuerzo desproporcionado; la destrucción y la supresión de datos se protocolizan; dichos protocolos no contendrán datos personales, sino únicamente referencias a expedientes o archivos.
• Medidas adicionales conforme a las secciones anteriores. |
3.2. Control de soportes de datos
Medidas para prevenir el acceso no autorizado a soportes de datos:
|
Medidas técnicas
|
Medidas organizativas
|
• Los datos se cifran o se protegen con contraseña para su transporte; los datos sensibles también se cifran o se protegen con contraseña para su uso.
• Medidas adicionales conforme a las secciones anteriores. |
• Existen registros de todos los soportes de datos.
• Existen registros de todos los soportes de datos.
• Los soportes de datos se transportan de forma segura.
• Los soportes de datos y documentos se eliminan conforme a la norma DIN 66399 de forma interna o a través de un proveedor de servicios homologado.
• Medidas adicionales conforme a las secciones anteriores. |
3.3. Control de cambios
Medidas para prevenir el acceso no autorizado a o el tratamiento de los datos:
|
Medidas técnicas
|
Medidas organizativas
|
• El acceso a los datos queda registrado; los archivos de registro de muestra se revisan regularmente.
• Medidas adicionales conforme a las secciones anteriores. |
Se registra lo siguiente:
• Cambios de contraseñas / derechos de acceso / roles.• Acceso de escritura con los siguientes detalles: usuario, datos, archivo y software.
• En el caso de datos sensibles, también el acceso de lectura.
• Existe una política escrita sobre el alcance y la naturaleza del inicio de sesión, así como sobre la retención y revisión de los registros. • Medidas adicionales conforme a las secciones anteriores.
|
3.4. Control de exportación
Medidas para prevenir la exportación no autorizada de datos fuera de los sistemas TI:
|
Medidas técnicas
|
Medidas organizativas
|
• La red interna se protege mediante la implementación de puertas de enlace de seguridad en los puntos de transferencia de red (por ejemplo, un cortafuegos,
un antivirus y un sistema de detección de intrusiones (IDS)).
• Los datos solo se transmiten por correo electrónico o cifrados (VPN, SSL).
• Los correos electrónicos se protocolizan de forma segura.
• Medidas adicionales conforme a las secciones anteriores. |
• El uso de servicios de almacenamiento en la nube o de otros servicios de tratamiento requiere la firma de un acuerdo de tratamiento y la auditoría del encargado del tratamiento.
• Medidas adicionales conforme a las secciones anteriores. |
4. Control de transmisión y transporte
Para garantizar que los datos personales no se lean, copien, modifiquen o eliminen sin autorización durante su transferencia electrónica o transporte, o mientras se están grabando en soportes de almacenamiento de datos. De forma similar, para poder determinar y comprobar qué organismos van a transferir datos personales usando instalaciones de transmisión de datos.
4.1. Control de transmisión
Medidas para garantizar que los receptores de todas las exportaciones de datos queden registrados:
|
Medidas técnicas
|
Medidas organizativas
|
| • Medidas conforme a las secciones anteriores |
• Todos los derechos de acceso y transmisiones se documentan en registros de actividades de tratamiento.
• Medidas adicionales conforme a las secciones anteriores. |
4.2. Control de transporte
Medidas para garantizar que los datos estén protegidos durante su transmisión y transporte:
|
Medidas técnicas
|
Medidas organizativas
|
• Si se transmiten datos personales a sistemas externos, resulta absolutamente necesario realizar el cifrado de los mismos.
• Medidas conforme a las secciones anteriores |
• Medidas conforme a las secciones anteriores |
5. Protocolos de tratamiento
Medidas para garantizar que se protocolice cualquier grabación o modificación de los datos personales:
|
Medidas técnicas
|
Medidas técnicas
|
| • Medidas conforme a las secciones anteriores |
• Medidas conforme a las secciones anteriores |
6. Control del cumplimiento de los encargados del tratamiento
Medidas para garantizar que los encargados del tratamiento o los encargados del tratamiento adicionales realicen el tratamiento de los datos únicamente conforme a las instrucciones del responsable del tratamiento:
|
Medidas técnicas
|
Medidas organizativas
|
• Separación física o lógica de los datos.
• Medidas adicionales conforme a las secciones anteriores. |
• Formación de los empleados, que deben firmar compromisos formales.
• Documentación de instrucciones por escrito.
• Selección de (sub)encargados del tratamiento y creación de borradores de (sub)contratos con la debida diligencia; realización de una auditoría inicial y periódica de las medidas técnicas y organizativas.
• Los proveedores de servicios externos deben estar bajo supervisión continua cuando trabajen en los sistemas TI.
• Medidas adicionales conforme a las secciones anteriores. |
7. Control de daños
7.1. Control de disponibilidad
Medidas para garantizar que los datos estén protegidos frente a la destrucción o pérdida:
|
Technical Measures
|
Organizational Measures
|
• All server rooms have climate control, smoke detection, and fire extinguishers; temperature and humidity are regularly checked
• All servers have an uninterruptible power supply (UPS) and are protected against electric overcharge; all servers are configured to automatically shut down in the event of an extended power blackout
• Additional measures according to the foregoing sections |
• Backup and recovery protection, users, log files, and virus scan of servers are reviewed on a daily basis
• The following is regularly reviewed:
uninterruptible power supply (UPS), server room locks
• There is a disaster recovery and business continuity plan in place to continue business in the event of a foreseeable (electricity, fire, water, etc) adverse event
• Additional measures according to the foregoing sections
|
7.2. Recuperación de sistemas
Medidas para garantizar el rápido restablecimiento de los sistemas tras un evento adverso:
|
Medidas técnicas
|
Medidas organizativas
|
• Se realiza regularmente una copia de respaldo de todos los datos.
• Las copias de respaldo importantes se guardan fuera de las instalaciones.
• Medidas adicionales conforme a las secciones anteriores. |
• Existe una política por escrito sobre las copias de respaldo que especifica el alcance, los intervalos y los métodos de realización de copias de respaldo, la frecuencia de las copias, los soportes de datos, el transporte y el almacenamiento, así como las responsabilidades internas en relación con los procedimientos de respaldo.
• Las copias de respaldo se revisan regularmente.
• Medidas adicionales conforme a las secciones anteriores. |
7.3. Fiabilidad
Medidas para garantizar que todos los sistemas funcionen adecuadamente y que se detecten los errores:
|
Medidas técnicas
|
Medidas organizativas
|
• Los sistemas llevan a cabo comprobaciones automáticas de congruencia e integridad (por ejemplo, procedimientos de suma de comprobación) para detectar errores.
• Los sistemas protocolizan los errores y sobrecargas de las aplicaciones (por ejemplo, problemas de almacenamiento o procesos interrumpidos).
• Medidas adicionales conforme a las secciones anteriores. |
• El departamento de TI comprueba y aprueba todo el software antes de su instalación.
• Existe un proceso de revisión manual regular de los sistemas, los atributos de los datos y la información de los procesos, así como de otras configuraciones materiales, con el fin de detectar errores.
• Existe una política que exige la notificación y documentación de todos los errores de los sistemas TI o de comunicaciones (excepto para los errores detectados y corregidos automáticamente por los sistemas).
• Existe un reglamento que establece que la corrección de errores solo puede efectuarla personal de TI y que los cambios importantes se deben probar en una zona protegida antes de su implementación.
• Medidas adicionales conforme a las secciones anteriores. |
7.4. Integridad de los datos
Medidas para garantizar que los datos no se corrompan como consecuencia de fallos de funcionamiento del sistema:
|
Medidas técnicas
|
Medidas organizativas
|
• Las verificaciones de la integridad de los datos están incluidas y habilitadas de forma predeterminada en la estrategia de respaldo y en el conjunto de herramientas.
• Se realizan pruebas de penetración y auditorías de seguridad.
• Medidas conforme a las secciones anteriores |
• Políticas y procedimientos de seguridad implementados.
• Formación para empleados que incluye las reglas para la introducción y el mantenimiento de los datos.
• Medidas conforme a las secciones anteriores |
8. Control de separación
Medidas para garantizar que los datos recogidos para diferentes propósitos estén claramente separados:
|
Medidas técnicas
|
Medidas organizativas
|
• Separación física o lógica de los datos.
• Los archivos de empresa se separan en función de la ubicación de almacenamiento específica, tanto en las instalaciones como en la nube.
• Las ubicaciones de almacenamiento solos son visibles y/o accesibles para los individuos que estén autorizados para acceder a los respectivos datos.
• Medidas adicionales conforme a las secciones anteriores. |
• Políticas y procedimientos de seguridad implementados.
• Medidas adicionales conforme a las secciones anteriores. |
9. Organización general
- Se ha designado un delegado de protección de datos en la medida exigida por la ley. Una o más personas de la dirección o que informan directamente a la dirección han asumido responsabilidades en relación con el cumplimiento de la protección y la seguridad de los datos. Una o más personas del departamento de TI han asumido responsabilidades en relación con la implementación de todas las medidas técnicas y organizativas, incluyendo el mantenimiento continuado de las respectivas políticas. Existen reglamentos claros sobre las respectivas responsabilidades dentro del departamento de TI.
- Existe una evaluación de riesgos documentada por escrito y una determinación de las medidas apropiadas en relación con la protección de datos (incluyendo la privacidad desde el diseño) y la seguridad de los datos para todos los sistemas y procesos.
- Además de los requisitos anteriores, existen políticas y reglamentos documentados por escrito que garantizan que todos los tratamientos de datos cumplen los principios de legalidad, equidad y transparencia, limitación de finalidad, minimización de datos, exactitud, limitación de almacenamiento e integridad y confidencialidad del tratamiento. El responsable del tratamiento cumple todos los requisitos legales en materia de rendición de cuentas y/o documentación.
- Todos los empleados han recibido instrucciones y formación sobre los requisitos básicos de protección y seguridad de datos, y se han comprometido a observarlos.
- Existen procedimientos documentados por escrito para garantizar que (a) los interesados puedan ejercer sus derechos legales en relación con sus datos; y (b) los incidentes o brechas de seguridad se notifiquen puntualmente.
- El departamento de TI, en colaboración con el delegado de protección de datos, lleva a cabo regularmente (al menos una vez al año) un análisis completo de riesgos y seguridad de todas las medidas técnicas y organizativas, y envía un informe por escrito a la dirección. La dirección puede encargar auditorías adicionales si lo considera necesario. Si se detecta un incumplimiento, las medidas para solucionarlo también se documentan.
