Análisis de las medidas de seguridad de nivel alto contenidas en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

• Existencia de medidas de índole técnica y organizativa acordes a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los sistemas de información.
  
• Contenido del Documento de Seguridad:

  -Ámbito de aplicación, detallando los recursos protegidos
  -Medidas, normas, procedimientos y estándares
  -Funciones y obligaciones del personas en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros
  -Estructura de los ficheros de datos y los sistemas de información que los tratan
  -Procedimientos de notificación, gestión y respuesta ante las incidencias
  -Los procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados
  -Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos
  -Los controles periódicos que deban realizarse para verificar el cumplimiento de lo dispuesto en el propio documento
  -La identificación del responsable o responsables de seguridad.

• Las funciones y obligaciones de cada una de los usuarios o perfiles de usuarios con acceso a:

- los datos de carácter personal y
- los sistemas de información

estarán claramente definidas y documentadas en el documento de seguridad.

• El responsable del fichero adoptará las medidas necesarias para que el personal conozca:
  
  - las normas de seguridad que afectan al desarrollo de sus funciones y
  - las consecuencias en que pudiera incurrir en caso de incumplimiento

• Constará:

- el tipo de incidencia,
- el momento en que se ha producido, o
- en su caso, el momento en que se ha detectado,
- persona que lo notifica,
- a quién se lo comunica,
- los efectos derivados de la misma,
- las medidas correctoras aplicadas,
- los procedimientos realizados de recuperación de datos,
- persona que ejecuta el proceso,
- los datos restaurados, y
- en su caso, qué datos ha sido necesario manualmente en el proceso de recuperación.

• Autorización del responsable del fichero para la ejecución de los procedimientos de recuperación.

• Los usuarios solo tendrán acceso a los recursos que precisen para el desarrollo de sus funciones.
  
  
• Responsable del fichero se encarga de la existencia de una relación actualizada de:
  
  - Usuarios y
  - perfiles de usuarios.
  
  
• Solamente el personal autorizado en el documento de seguridad podrá:
  
  - conceder,
  - alterar, o
  - anular el acceso autorizado sobre los recursos
  
  
• Personal ajeno que tenga acceso a los recursos deberá estar sometido a las mismas obligaciones y condiciones de seguridad que el personal propio.
  

• Los soportes y documentos que contengan datos de carácter personal deberán:
  
  - permitir identificar el tipo de información que contienen,
  - ser inventariados, y
  - solo ser accesibles por el personal autorizado para ello en el documento de seguridad,
  - excepto cuando las características físicas del soporte imposibiliten su cumplimiento
  
  
• La salida de soportes y documentos que contengan datos de carácter personal deberá ser autorizadas por el responsable del fichero y documentada en el documento de seguridad.
  
  
• Destruir o borrar el documento o soporte a ser desechado, evitando su recuperación posterior.
  
  
• Adoptar medidas dirigidas a evitar la sustracción, pérdida o acceso de la información en su transporte.
  
  
• Utilizar sistema de etiquetado comprensibles para los usuarios autorizados y de difícil identificación para otras personas en los soportes que contengan datos sensibles.
  
  
• Registro de entrada de soportes:
  
  - tipo de documento o soporte
  - fecha y hora
  - emisor
  - número de documentos o soportes incluídos en el envío
  - tipo de información que contienen
  - forma de envío
  - persona responsable de la recepción autorizada
  
  
• Registro de salida de soportes:
  
  - tipo de documento o soporte
  - hora y fecha
  - destinatario
  - número de documentos o soportes incluidos en el envío
  - tipo de información que contienen
  - forma de envío
  - la persona responsable de la entrega que deberá estar debidamente autorizada

• Existencia de medidas de identificación y autenticación de los usuarios.
• Mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información.
• Procedimiento de asignación, distribución y almacenamiento de contraseñas que garantice su confidencialidad e integridad.
• Periodicidad del cambio de contraseñas y almacenamiento de forma ininteligible mientras estén vigentes.
• Limitación de la posibilidad de intentar reiteradamente el acceso no autorizado al sistema

• Periodicidad semanal, a menos que en dicho período no se hubiera producido ninguna actualización de los datos.
• Procedimiento de recuperación de los datos que garantice su reconstrucción.
• El responsable del fichero deberá verificar a cada seis meses la correcta definición, funcionamiento y aplicación de los procedimientos.
• Las pruebas no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote en el documento de seguridad.
  Responsable de seguridad
• Deberá conservarse una copia de respaldo de los datos y de los procedimientos de recuperación de los mismos en un lugar diferente de aquel en que se encuentren los equipos informáticos que los tratan, que deberá cumplir en todo caso las medidas de seguridad exigidas, o utilizando elementos que garanticen la integridad y recuperación de la información, de forma que sea posible su recuperación

• Designación de uno o varios responsables de seguridad por el responsable del fichero para coordinar y controlar las medidas definidas en el Documento de Seguridad
  
• Esta designación puede ser única para todos los ficheros o tratamientos de datos de carácter personal o diferenciada según los sistemas de tratamiento utilizados, dependo constar en el documento de seguridad.

• Auditoria interna o externa de los sistemas de información e instalaciones de tratamientos y almacenamiento de datos al menos cada dos años.
  
• Informe de auditoria sobre adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificar deficiencias y proponer medidas correctoras o complementarias necesarias.
  
• Responsable de seguridad deberá analizar los informes de auditoria.

• Periodicidad semanal, a menos que en dicho período no se hubiera producido ninguna actualización de los datos.
• Procedimiento de recuperación de los datos que garanticen su reconstrucción.
• El responsable del fichero deberá verificar a cada seis meses la correcta definición, funcionamiento y aplicación de los procedimientos.
• Las pruebas no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote en el documento de seguridad.
  

• Exclusivamente el personal autorizado en el documento de seguridad podrá tener acceso a los locales donde se encuentren ubicados los sistemas de información.

• Como mínimo, se guardará de cada intento de acceso:

- la identificación del usuario,
- la fecha y hora en que se realizó,
- el fichero accedido,
- el tipo de acceso, y
- si ha sido autorizado o denegado.

• Si el acceso ha sido autorizado, se guardará la información que permita identificar el registro accedido.
  
  
• Los mecanismos que permiten el registro de los datos anteriores estarán bajo el control del responsable de seguridad sin que se deba permitir su desactivación ni la manipulación de los mismos.
  
  
• Los datos registrados se conservarán durante un período mínimo de dos años.
  
  
• El responsable de seguridad revisará periódicamente la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados al menos una vez al mes.
  
  
• No será necesario el registro de acceso cuando:

- el responsable del fichero o tratamiento sea una persona física,
- el responsable del fichero o tratamiento garantice que únicamente él tiene acceso y trata los datos personales.

• la transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.

Además de las obligaciones comunes, a los ficheros y tratamientos no automatizados les será de aplicación lo dispuesto el Título VIII, Capítulo VI

• El archivo de los soportes o documentos se realizará de acuerdo con los criterios previstos en su respectiva legislación.
  
• Estos criterios deberán garantizar:
  - la correcta conservación de los documentos,
  - la localización,
  - consulta de la información y
  - el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación.
  
• En aquellos casos en los que no exista norma aplicable, el responsable del fichero deberá establecer los criterios y procedimientos de actuación que deban seguirse para el archivo.

• Los dispositivos de almacenamiento de los documentos que contengan datos de carácter personal deberán disponer de mecanismos que obstaculicen su apertura.
  
• Cuando las características físicas de aquéllos no permitan adoptar esta medida, el responsable del fichero o tratamiento adoptará medidas que impidan el acceso de personas no autorizadas.
  

• La persona que se encuentre al cargo de la documentación con datos de carácter personal que no se encuentre archivada en los dispositivos de almacenamiento deberá:
  - custodiarla e
  - impedir en todo momento que pueda ser accedida por persona no autorizada.

• Se designará uno o varios responsables de seguridad en los términos y con las funciones previstas en el artículo 95.

• Auditoria interna o externa al menos cada dos años.

• Los armarios, archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de carácter personal deberán encontrarse en áreas en las que el acceso esté protegido con:
  
  - puertas de acceso dotadas de sistemas de apertura mediante llave u
  - otro dispositivo equivalente.
  
  
• Dichas áreas deberán permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero.

• La generación de copias o la reproducción de los documentos únicamente podrá ser realizada bajo el control del personal autorizado en el documento de seguridad.
• Deberá procederse a la destrucción de las copias o reproducciones desechadas de forma que se evite el acceso a la información contenida en las mismas o su recuperación posterior.

• El acceso a la documentación se limitará exclusivamente al personal autorizado.
• Se establecerán mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por múltiples usuarios.
• El acceso de personas no incluidas en el párrafo anterior deberá quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad.

• Siempre que se proceda al traslado físico de la documentación contenida en un fichero, deberán adoptarse medidas dirigidas a impedir el acceso o manipulación de la información objeto de traslado.