BODEGAS BORDOY SL ha realizado una Evaluación de Impacto y su respectivo mapa de riesgos de sus procedimientos de tratamiento de datos personales. Considerando los resultados de los mismos ha aplicado las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo plasmado en la Evaluación de Impacto. Estas medidas de seguridad consideran, en especial los siguientes aspectos:
- Se han tenido particularmente en cuenta los riesgos que presentan los tratamientos de datos, de acuerdo con los tratamientos previstos en el Anexo E “Registro de actividades de tratamiento“, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
- BODEGAS BORDOY SL ha tomado todas aquella medidas necesarias para garantizar que cualquier persona que actúe bajo su autoridad y tenga acceso a datos personales sólo pueda tratar dichos datos siguiendo las instrucciones previstas en este documento.
Para garantizar el nivel de protección adecuado y exigido por la normativa vigente en protección de datos, en BODEGAS BORDOY SL serán de aplicación las siguientes normas, procedimientos y estándares relacionados con la seguridad de los datos de los sistemas de BODEGAS BORDOY SL.
6.2.1 Acceso a datos a través de redes de comunicación
Cuando en BODEGAS BORDOY SL existan Encargados de Tratamiento que tengan permitido el acceso remoto a sus sistemas de información, estas conexiones deberán permitir la aplicación de las mismas medidas de seguridad, equivalentes a una conexión en área local, medidas descritas en las presentes Medidas y Procedimientos.
En el Anexo B “Acceso a Datos a Través de redes de Comunicación” se relacionan todos los Encargados de Tratamiento que disponen de un acceso remoto autorizado a los sistemas de información de BODEGAS BORDOY SL.
6.2.2 Categorías especiales de datos
BODEGAS BORDOY SL no trata categorías especiales de datos a través de redes públicas o redes inalámbricas de comunicaciones electrónicas, con lo cual, no será necesario el cifrado de los datos en este sentido. Asimismo, en el momento en que BODEGAS BORDOY SL trate datos personales de carácter especial, cifrará estos datos o bien utilizará cualquier otro mecanismo que garantice que la información no podrá ser inteligible ni manipulada por terceros.
6.2.3 Régimen de trabajo fuera de los locales de ubicación de los sistemas de tratamiento
En BODEGAS BORDOY SL no existen dispositivos portátiles. En el caso de que se proceda a incorporar dispositivos portátiles en BODEGAS BORDOY SL y que se proceda al tratamiento de datos en sus unidades lógicas, estos tratamientos deberán ser autorizados previamente por el Delegado de Protección de Datos, y estos serán relacionados y autorizados en el Anexo H «Régimen de Trabajo Fuera de los Locales de Ubicación de los sistemas de tratamiento” y siguiendo la política mencionada a continuación.
Los empleados de BODEGAS BORDOY SL que dispongan de un dispositivo portátil asignado, serán informados de la prohibición, excepto excepciones autorizadas, de almacenar datos de carácter personal en las unidades lógicas de los dispositivos portátiles y de la obligación de trabajar con datos de carácter personal únicamente sobre las unidades lógicas definidas en el servidor local. Además, les serán de aplicación las medidas de seguridad implementadas en BODEGAS BORDOY SL, las cuales quedan definidas en la presente normativa de seguridad.
Será obligatorio que en los dispositivos portátiles, se habiliten los mismos criterios establecidos sobre identificación, autentificación y control de accesos, definidos en la normativa de seguridad, siempre que se conecten a la red local o accedan de manera remota.
En ningún caso será permitida, sin su previa autorización, la grabación de categorías especiales de datos o de nivel alto en las unidades lógicas de los dispositivos portátiles.
6.2.4 Identificación y autenticación
El procedimiento seguido en BODEGAS BORDOY SL para la identificación y autenticación de los usuarios cuando intentan acceder al sistema, la red o las aplicaciones está basado en la combinación de un código de identificación de usuario y una contraseña que el propio sistema informático cotejará en cada intento de acceso a fin de comprobar que dicho acceso sea autorizado o no.
A cada usuario le ha sido asignada una identificación única e intransferible tanto para el acceso al sistema como para el acceso a las aplicaciones.
En BODEGAS BORDOY SL existe una política de asignación, distribución y almacenamiento de usuarios y contraseñas que garantiza su confidencialidad e integridad, estableciéndose en esta política también la periodicidad en la que será requerido el cambio de las contraseñas. Esta política se encuentra en el Anexo D “Identificación y Autenticación”.
6.2.5 Control de acceso
Los usuarios de BODEGAS BORDOY SL recibirán sus derechos de acceso siguiendo la política de mínimo privilegio, asignándoles un único código de identificación. Es decir, únicamente accederán a aquellos datos y recursos informáticos que precisan para el desarrollo de sus funciones.
El Responsable de Privacidad o aquellos empleados que les haya sido atribuida esta labor, determinarán las aplicaciones que serán accesibles para cada usuario.
En el Anexo D «Identificación y Autenticación» se indica el procedimiento a seguir para obtener la relación de usuarios con acceso autorizado a la red y a las aplicaciones, así como los derechos que tienen concedidos.
En el Anexo D «Identificación y Autenticación», se incluye la relación de usuarios con acceso autorizado a cada sistema de información. Además, se incluye el tipo de acceso autorizado para cada uno de ellos. Esta lista se actualizará por el Responsable de Privacidad o Seguridad, o por el personal al cual le haya sido delgada esta labor, cada vez que un usuario reciba nuevos privilegios o cada vez que se dé de alta un nuevo usuario con acceso a datos de carácter personal.
Cuando para la prestación de un servicio a BODEGAS BORDOY SL por parte de personal de terceras empresas, este personal tenga acceso a los recursos de BODEGAS BORDOY SL, estará sometido a las mismas condiciones y obligaciones de seguridad que el personal propio de BODEGAS BORDOY SL.
6.2.6 Gestión de soportes
En BODEGAS BORDOY SL los soportes que contengan datos de carácter personal serán etiquetados permitiendo su identificación. Del mismo modo serán inventariados y almacenados en las instalaciones dónde se ubican los sistemas de información (servidores y equipos de comunicación). Este lugar se considerará de acceso restringido y sólo podrá ser accedido por el personal autorizado por el Responsable de Tratamiento.
Asimismo, en BODEGAS BORDOY SL existen diferentes perfiles de empleados. Todos los empleados que requieren del acceso a soportes informáticos que contienen datos de carácter personal, les es autorizada en el momento de la firma del contrato laboral con la compañía. Incluso para el envío y recepción de correos electrónicos con documentos anexos.
De esta forma, se entenderá por autorizado el acceso a soportes a partir del momento que el empleado suscribe el contrato laboral con BODEGAS BORDOY SL.
Esta autorización se entenderá como vigente, siempre que el contrato laboral siga en vigor. En el momento que cese la relación laboral con el empleado se entenderá como extinguida la autorización.
6.2.7 Procedimientos de copias de seguridad y recuperación
BODEGAS BORDOY SL ha establecido un procedimiento para la realización de copias de respaldo con periodicidad mínima semanal, salvo que en dicho período no se hubiera producido ninguna actualización de los datos.
El mencionado procedimiento para la recuperación de los datos debe garantizar en todo momento su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción.
Únicamente, en el caso de que la pérdida o destrucción, afectase a categorías de datos o tratamientos parcialmente automatizados y siempre que la existencia de documentación permita alcanzar el objetivo al que se refiere el párrafo anterior, se procederá a grabar manualmente los datos.
El procedimiento establece una verificación como mínimo semestral para asegurar la correcta definición, funcionamiento y aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos.
En el Anexo I “Procedimientos de Copias de Seguridad y Recuperación” se detalla la arquitectura del procedimiento de copias de seguridad.
6.2.8 Inventario de aplicaciones informáticas
BODEGAS BORDOY SL ha elaborado un inventario de aplicaciones informáticas con el fin de poder gestionar e indicar la ubicación de las categorías de datos existentes dentro de los sistemas informáticos.
En el Anexo J “Inventario de aplicaciones informáticas” se encuentra la relación de aplicaciones informáticas utilizadas por BODEGAS BORDOY SL. Este inventario se actualizará por el Responsable de Privacidad o seguridad, o por el personal al cual le haya sido delgada esta labor en la medida en que se remplacen, suprimen o agreguen aplicaciones informáticas dentro de los sistemas informáticos de gestión de las categorías de datos.
6.2.9 Procedimientos de tratamientos no automatizados
Se entiende como tratamiento no automatizado todo conjunto de datos de carácter personal organizado de forma no automatizada y estructurado conforme criterios específicos relativos a personas físicas, que permitan acceder sin esfuerzos desproporcionados a sus datos personales ya sea aquél centralizado, descentralizado, repartido de forma funcional o geográfica. De modo genérico se considerará tratamiento no automatizado a todo documento en el que se encuentren datos de carácter personal en formato no informático (facturas, presupuestos, albaranes, contratos, currículums vitae, etc).
Serán de aplicación para las categorías de datos no automatizadas, las medidas de seguridad descritas anteriormente para las categorías de datos automatizadas. Adicionalmente en el Anexo M “Operaciones de tratamiento no automatizadas” se describen las medidas de seguridad aplicables únicamente a las operaciones de tratamiento realizadas exclusivamente en soporte papel.
6.2.10 Contratos de prestación de servicios
BODEGAS BORDOY SL ha procedido a la contratación de distintos proveedores de servicios que realizan tratamientos de datos bajo su responsabilidad, BODEGAS BORDOY SL ha documentado en el Anexo G “Relación de Encargados de Tratamiento” la relación actualizada de todos aquellos prestadores de servicios, que por los servicios que vienen prestando, disponen de un acceso a datos de carácter personal bajo la responsabilidad de BODEGAS BORDOY SL.
De estos deberá constar la siguiente información:
- Encargado de Tratamiento
- Razón social
- CIF
- Fines del tratamiento
- Categorías de interesados y categorías de datos personales
- Medidas técnicas y organizativas de seguridad