slide
slide
slide
slide
slide
slide

Política de Privacidad

Introducción

La Universidad Pontificia de Salamanca considera la información como uno de los activos fundamentales para cumplir con su misión investigadora, docente y cultural. Por ello, estima que los sistemas de Tecnología de la Información y Comunicaciones (TIC) constituyen un elemento estratégico para la consecución de sus objetivos. Esta circunstancia obliga a la Universidad a implementar un modelo de gestión de la seguridad de la información que permita identificar y minimizar los riesgos frente a cualquier amenaza, o daño accidental o deliberado, poniendo en práctica las medidas preventivas y reactivas que permitan resguardar y proteger la información, cumpliendo con los requerimientos legales en la materia, de forma que se garantice la conservación, la confidencialidad, la disponibilidad y la integridad de la información, así como la seguridad de los sistemas que la soportan.


Alcance

La presente Política de Seguridad será de aplicación para toda la comunidad universitaria así como para cualquier persona, institución o entidad colaboradora que utilice los recursos y servicios TIC de la Universidad. Incluye tanto los recursos que pertenecen a la Universidad como cualquier activo ajeno (móvil, ordenador privado, etc..) que acceda a la red corporativa mediante conexión directa, indirecta o remota, incluyendo sus servicios Web. Estos recursos ajenos quedarán sujetos de la misma manera a las obligaciones contenidas en la presente Política de Seguridad y a toda normativa que la desarrolle.


Marco Normativo

La presente Política de Seguridad se sustenta, principalmente, en las siguientes normas de ámbito europeo, estatal, autonómico e interno:

  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD).
  • Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).
  • Ley Orgánica 6/2001, de 21 de diciembre, de Universidades (LOU).
  • Ley 3/2003, de 28 de marzo, de Universidades de Castilla y León.
  • Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSICE).
  • Ley 59/2003, de 19 de diciembre, de Firma Electrónica (LFE).
  • Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (RLOPD).
  • Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual, regularizando, aclarando y armonizando las disposiciones vigentes en la materia (LPI).
  • Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores (ET).
  • Estatutos de la Universidad Pontificia de Salamanca, aprobados por la Congregación para la Educación Católica con fecha 30 de julio de 2010.
  • Todas aquellas normas, de carácter general o interno, que en la actualidad o en el futuro puedan resultar de aplicación a la Universidad en el marco de esta Política de Seguridad.

Principios básicos de la seguridad

La presente Política de Seguridad, así como cualquier norma o instrucción que la desarrolle, deberá fundamentarse en los siguientes principios básicos cuyo objetivo es asegurar que toda actividad relacionada con el uso de información de la Universidad se realiza de forma segura:

  • Seguridad integral: La seguridad es un proceso integral que comprende todos los elementos humanos, técnicos, materiales y organizativos, siendo esencial que los procedimientos relacionados con ella se implementen desde el momento inicial del diseño de los sistemas, debiendo ser evaluados y autorizados previamente a su implantación y estableciendo como principio rector la seguridad por defecto.
  • Análisis y gestión de los riesgos: Los procesos analíticos y de gestión perseguirán la obtención de un entorno controlado que minimice el nivel de riesgo de los mismos mediante la implantación de medidas de seguridad apropiadas, permanentemente actualizadas y revisadas, y que procurarán encontrar un equilibrio y proporcionalidad entre la naturaleza de los datos, los tratamientos realizados, los peligros a los que estén expuestos y la eficacia y coste de las medidas de seguridad aplicadas.
  • Prevención, detección, reacción y recuperación: Será prioritario el establecimiento de medidas de prevención frente a aquellas amenazas que puedan perjudicar los sistemas, el estableciendo mecanismos de detección de incidencias y anomalías en los procesos así como de recuperación de la información que permita la continuidad de los servicios y del uso de la información durante toda su vida útil.
  • Establecimiento de líneas de defensa: Se establecerá un plan estratégico de protección mediante el establecimiento de múltiples capas de seguridad compuestas por medidas de naturaleza organizativa, operativa, física y lógica, dispuestas de forma fragmentada para que el fallo en una de ellas no comprometa la seguridad de las demás.
  • Revisión periódica y mejora continua: La gestión de la seguridad de la información será periódicamente revisada para adecuarse en todo momento a la evolución tanto de los riesgos como de los sistemas de protección, contemplándose la elaboración de informes anuales de planificación de mejoras en los sistemas TIC.

Organización de la seguridad

La estructura organizativa para la gestión de la seguridad de la información estará compuesta por los siguientes órganos:

  • Comité de Seguridad de la Información.
  • Responsable de Seguridad de la Información.
  • Delegado de Protección de Datos.

1.- Comité de Seguridad de la Información

Es el órgano colegiado que dirige, gestiona, coordina, establece y aprueba las actuaciones en materia de seguridad de la información.

Está integrado por:

  • Vicerrector con competencias en materia de TIC, que actuará como Presidente.
  • Secretario General.
  • Director de la Unidad Técnica de Calidad.
  • Director del Centro de Servicios Informáticos.
  • Responsable del Área de Infraestructuras Tecnológicas del Centro de Servicios Informáticos.
  • Responsable del Área de SS.II. de Secretaría General del Centro de Servicios Informáticos.
  • Delegado de Protección de Datos.
  • Responsable de Seguridad de la Información, que actuará como Secretario.

Son funciones del Comité:

  • Informar regularmente del estado de seguridad de la información al Rector.
  • Proponer a la Junta Permanente de Gobierno el establecimiento y modificación de la Política de Seguridad de la Información.
  • Aprobar la normativa y procedimientos de seguridad elaborados en desarrollo de la Política de Seguridad de la Información.
  • Promover la mejora continua del sistema de gestión de seguridad de la información mediante la elaboración de la estrategia y nuevas líneas de trabajo priorizando las actuaciones en materia de seguridad.
  • Revisar anualmente la Política de Seguridad.
  • Interpretar la normativa de seguridad y resolver los conflictos que puedan surgir entre los distintos responsables.
  • Comunicar a los órganos competentes las infracciones de la Política de Seguridad e instar, en su caso, la adopción de medidas preventivas y correctivas así como disciplinarias, cuando proceda.

Se reunirá con carácter ordinario dos veces al año y podrá recabar del personal propio o externo la información y asesoramiento pertinentes para la toma de sus decisiones.


2.- Responsable de Seguridad de la Información

El responsable de Seguridad de la Información tendrá asignadas las siguientes funciones:

  • Promover la seguridad de la información manejada y de los servicios prestados por los sistemas TIC.
  • Llevar a cabo el seguimiento de la Política de Seguridad de la Información de manera operativa, así como las seguridad física y lógica de los recursos TIC.
  • Supervisar la investigación de los incidentes de seguridad y monitorizar el estado de seguridad del sistema.
  • Determinar y proponer las medidas de seguridad a adoptar con objeto de garantizar la seguridad de los datos personales y documentar las actuaciones para demostrar el cumplimiento de la legalidad vigente.
  • Coordinar y controlar las medidas de seguridad implementadas.
  • Analizar los informes de auditorías.
  • Controlar los mecanismos del registro de accesos.
  • Revisar la información de control del registro de accesos y elaborar un informe de las revisiones realizadas y problemas detectados.
  • En relación a los accesos autorizados, delegar a un usuario autorizaciones o funciones.
  • Proponer el establecimiento de nueva normativa de seguridad o la modificación de la existente al Comité de Seguridad de la Información.

Estará auxiliado para el desarrollo de sus funciones por la totalidad del personal interno o externo que forma parte del Centro de Servicios Informáticos de la Universidad.


3.- Delegado de Protección de Datos

Le corresponden las siguientes funciones:

  • Informar y asesorar a la Universidad y al Comité de Seguridad de la Información de las obligaciones de la normativa de protección de datos.
  • Supervisar el cumplimiento de la normativa de protección de datos y las políticas de privacidad, incluida la asignación de responsabilidades.
  • Contribuir a la concienciación y formación del personal que participa en las operaciones de tratamiento y las auditorías correspondientes.
  • Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación.
  • Cooperar con la autoridad de control y actuar como punto de contacto de la misma.

Gestión de Riesgos

Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los potenciales peligros a los que están expuestos. Este análisis se revisará de forma anual y se podrá repetir cuando:

  • cambie la información manejada.
  • cambien los servicios prestados.
  • ocurra un incidente grave de seguridad.
  • se reporten vulnerabilidades graves.

Para la armonización de los análisis de riesgos, el Comité de Seguridad de la Información establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados. El Comité de Seguridad de la Información dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.

La gestión de riesgos quedará documentada en el informe de Análisis y Gestión de Riesgos.


Derechos y deberes

Todos los miembros de la comunidad universitaria tienen el derecho de conocer y la obligación de cumplir esta Política de Seguridad de la Información así como toda normativa e instrucciones que la desarrollen. La Universidad se compromete a promover la concienciación y formación en esta materia, poniendo a disposición de sus responsables los medios necesarios para dichas labores, encaminadas a transmitir al personal de la Universidad el papel esencial que desempeña en el mantenimiento y mejora de la seguridad de la información.

Quienes traten información de la Universidad que no sea de acceso público están obligados a utilizar los sistemas de acceso y de identificación personales que les han sido proporcionados y a acceder únicamente a la información necesaria para el desarrollo de las labores que tienen encomendadas, respetando las medidas de seguridad implantadas por la normativa y en especial las referidas al tratamiento de uso de datos de carácter personal.


Relación con terceras partes

Cuando la Universidad Pontificia de Salamanca preste servicios a otros organismos o maneje información de los mismos les comunicará esta política de seguridad y las normas e instrucciones que la desarrollan.

Se establecerán canales de comunicación y coordinación entre los respectivos Comités de Seguridad de la Información, y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.

Cuando la Universidad utilice servicios de terceros o ceda información a terceros, el responsable de esa relación les hará igualmente partícipes de la política enunciada en el presente documento y de la normativa e instrucciones de seguridad que atañe a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones y medidas establecidas en dicha normativa e instrucciones, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de prevención, detección, reporte y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política de Seguridad.

En concreto, los terceros deberán garantizar el cumplimiento de políticas de seguridad basadas en estándares auditables y someterse a controles y revisiones externas que certifiquen el cumplimiento de estas políticas. Asimismo, se garantizará mediante auditoría o certificado de destrucción y borrado que el tercero cancela y elimina los datos pertenecientes a la Universidad Pontificia a la finalización del contrato.

Cuando algún aspecto de esta Política de Seguridad no pueda ser satisfecho por una tercera parte, se requerirá un informe del Responsable de Seguridad de la Información que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por el Comité de Seguridad de la Información antes de seguir adelante.

Contacto
C/ Compañía 5, 37002, Salamanca
boton-aepd
boton-incibe