El Título VIII del Reglamento que desarrolla las medidas de seguridad en el tratamiento de datos de carácter personal, tiene por objeto establecer las medidas de índole técnica y organizativa necesarias para garantizar la seguridad que deben reunir los ficheros, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento de los datos de carácter personal.
CONTROL DE ACCESO
• Relación actualizada de usuarios y accesos autorizados.
• Control de accesos permitidos a cada usuario según las funciones asignadas.
• Mecanismos que eviten el acceso a datos o recursos con derechos distintos de los autorizados.
• Concesión de permisos de acceso sólo por personal autorizado.
• Mismas condiciones para personal ajeno con acceso a los recursos de datos.
• Control de acceso físico a los locales donde se encuentran ubicados los sistemas de información. (medio y alto)
• Revisión mensual del registro por el responsable de seguridad. (alto)
• Conservación de dos años del registro de accesos. (alto)
• Identificación y autenticación personalizada.
• Procedimiento de asignación y distribución de contraseñas.
• Almacenamiento ininteligible de las contraseñas.
• Periodicidad del cambio de contraseñas (<1 año).
• Límite de intentos reiterados de accesos no autorizados. (nivel medio y alto )
• Gestión de Soportes. (nivel medio y alto )
• Registro de entrada y salida de soportes: documento o soporte, fecha, emisor/destinatario. (nivel medio y alto)
COPIAS DE RESPALDO
• Copia de respaldo semanal.
GESTIÓN DE SOPORTES
• Sistema de etiquetado confidencial. (alto)
• Cifrado de datos en la distribución de soportes. (alto)
• Cifrado de información en dispositivos portátiles fuera de las instalaciones. (alto)
TELECOMUNICACIONES (Automatizados)
• Transmisión de datos a través de redes electrónicas cifradas.
ALMACENAMIENTO
• Dispositivos de almacenamiento dotados de mecanismos que obstaculicen su apertura.