Haga clic aquí para desactivar el seguimiento de Google Analytics

Anexo. Medidas de Seguridad.

Anexo. Medidas de Seguridad.

 

 

Las siguientes medidas de seguridad tienen como finalidades principales garantizar la integridad de la información, permitir su recuperación en caso de incidentes y evitar los accesos no autorizados a las mismas. Están adaptadas a las características de los tratamientos, al tipo de datos tratados y a la tecnología disponible en estos momentos.

 

El tratamiento de datos personales que se lleva a cabo por el responsable de yoinviertoenacciones.es implica un bajo riesgo para los derechos o libertades de los interesados. Dicho tratamiento consta de procesos automáticos y manuales, que recopilan exclusivamente datos de tipo identificativo y donde el responsable es la única persona dentro de la organización con acceso a dichos datos.

 

Paso a detallar los mecanismos de prevención, supervisión y control del cumplimiento establecidos por yoinviertoenacciones.es.

 

MEDIDAS ORGANIZATIVAS

El responsable, como único personal interno con acceso a datos personales, cumple con las siguientes obligaciones:

  • Deber de confidencialidad y secreto:

    • Impide el acceso de personas no autorizadas a los datos personales, a tal fin se evita: dejar los datos personales expuestos a terceros (pantallas electrónicas desatendidas, documentos en papel en zonas de acceso público, soportes con datos personales, etc.), esta consideración incluye las pantallas que se utilicen para la visualización de imágenes del sistema de videovigilancia. Cuando se ausenta del puesto de trabajo, se procede al bloqueo de la pantalla o al cierre de la sesión.

    • Los documentos en papel y soportes electrónicos se almacenan en lugar seguro durante las 24 horas del día. Tanto el archivador como la estancia son de acceso restringido bajo llave que se encuentra en poder del responsable del tratamiento de los datos.

    • No se desechan documentos o soportes electrónicos (cd, pen drives, discos duros, etc.) con datos personales sin garantizar su destrucción, conforme a las recomendaciones del INCIBE (Instituto Nacional de Ciberseguridad).

    • El responsable se encarga de conceder, alterar o anular el acceso autorizado sobre los datos personales. No se comunican datos personales o cualquier información personal a terceros no autorizados, se prestará atención especial en no divulgar datos personales protegidos durante las consultas telefónicas, correos electrónicos, etc.

    • El deber de secreto y confidencialidad persiste incluso cuando finalice la relación laboral del trabajador con la empresa.

 

  • Derechos de los titulares de los datos:

Acerca del procedimiento para atender los derechos de los interesados, los mecanismos por los que pueden ejercerse los derechos son mediante correo electrónico o correo postal, teniendo en cuenta lo siguiente:

  • Previa presentación de su documento nacional de identidad o pasaporte, los titulares de los datos personales (interesados) podrán ejercer sus derechos de acceso, rectificación, supresión y oposición. El responsable del tratamiento deberá dar respuesta a los interesados sin dilación indebida.

Para el derecho de acceso se facilitará a los interesados la lista de los datos personales de que disponga junto con la finalidad para la que han sido recogidos, la identidad de los destinatarios de los datos, los plazos de conservación, y la identidad del responsable ante el que pueden solicitar la rectificación, supresión y oposición al tratamiento de los datos.

Para el derecho de rectificación se procederá a modificar los datos de los interesados que fueran inexactos o incompletos atendiendo a los fines del tratamiento.

Para el derecho de supresión se suprimirán los datos de los interesados cuando los interesados manifiesten su negativa u oposición al consentimiento para el tratamiento de sus datos y no exista deber legal que lo impida.

Para el derecho de oposición los interesados deberán manifestar su negativa al tratamiento de sus datos ante el responsable, que dejará de procesarlos siempre que no exista una obligación legal que lo impida.

Debido al tipo de información que el Usuario presta en yoinviertoenacciones.es, el único derecho que establece el RGPD que no se puede ejercer es el derecho de portabilidad.

  • El responsable deberá informar al interesado sobre las actuaciones derivadas de su petición sin dilación indebida, y como máximo, en el plazo de un mes. Incluso si decide no atender una solicitud, deberá informar de ello, motivando su negativa, dentro del plazo de un mes desde su presentación.

  • Para facilitar a los interesados el ejercicio de sus derechos de forma visible, accesible y sencilla; en el sitio web y en todas las páginas, los usuarios disponen de un acceso a la información de contacto, atención al cliente y a la Política de Privacidad. También aparece la información básica sobre datos personales en cada formulario. Y además tienen un área personal para registrarse desde donde pueden acceder a los datos personales que hayan prestado y que pueden modificar en cualquier momento.

 

  • Violaciones de seguridad de datos de carácter personal:

    • Cuando se produzcan violaciones de seguridad DE DATOS DE CARÁCTER PERSONAL, como por ejemplo, el robo o acceso indebido a los datos personales se notificará a la Agencia Española de Protección de Datos en término de 72 horas acerca de dichas violaciones de seguridad, incluyendo toda la información necesaria para el esclarecimiento de los hechos que hubieran dado lugar al acceso indebido a los datos personales. La notificación se realizará por medios electrónicos a través de la sede electrónica de la Agencia Española de Protección de Datos en la dirección: https://sedeagpd.gob.es  

 

  • Actualmente no se usan cámaras de videovigilancia en el lugar de trabajo.

 

 

MEDIDAS TÉCNICAS

  • Identificación:

    • El ordenador de trabajo dispone de varios perfiles diferenciados para las distintas finalidades, contando con un usuario específico para la finalidad del tratamiento de datos personales.

    • Se trata en concreto de un usuario sin privilegios o derechos de administración. Esta medida evitará que en caso de ataque de ciberseguridad puedan obtenerse privilegios de acceso o modificar el sistema operativo.

    • Cada persona con acceso a los datos personales, dispondrá de un usuario y contraseña específicos (identificación inequívoca).

    • Se garantiza la existencia de contraseñas para el acceso a los datos personales almacenados en sistemas electrónicos. La contraseña tendrá al menos 8 caracteres, mezcla de números y letras. Se garantiza el cambio de contraseñas por plazos no superiores a un año.

    • Se garantiza la confidencialidad de las contraseñas, evitando que queden expuestas a terceros. En ningún caso se compartirán las contraseñas ni se dejarán anotadas en lugar común y al acceso de personas distintas del usuario.

 

  • Deber de salvaguarda

A continuación se exponen las medidas técnicas para garantizar la salvaguarda de los datos personales:

  • Actualización de ordenadores y dispositivos: Los dispositivos y ordenadores utilizados para el almacenamiento y el tratamiento de los datos personales se mantienen actualizados en la medida posible.

  • MALWARE: El ordenador donde se realiza el tratamiento de los datos personales dispone de un programa antivirus (Avast Antivirus) que garantiza en la medida posible el robo y destrucción de la información y datos personales. El programa de antivirus es actualizado de forma periódica.

1&1 Internet España SLU impide, en la medida de lo posible, mediante el filtrado automático de los correos electrónicos salientes de yoinviertoenacciones.es las actividades con fines de spam, mail bombing, phishing, escrow fraud, scam 419, pharming, difusión de virus (troyanos, gusanos, etc.), o cualquier otro tipo de actividad realizada con ánimo saboteador, fraudulento o delictivo.

  • Cortafuegos o FIREWALL: Para evitar accesos remotos indebidos a los datos personales existe un firewall activado (firewall de Windows) en el ordenador que se usa para el almacenamiento y/o tratamiento de datos personales.

  • Cifrado de datos: La página web yoinviertoenacciones.es, desde la que se recogen los datos de los interesados y la cuenta de correo electrónico info@yoinviertoenacciones.es, disponen de un certificado SSL (Secure Socket Layer). Esto permite el intercambio de datos entre ordenadores sin que terceros puedan leerlos, mediante la transmisión de datos encriptada y, por lo tanto, confidencial e íntegra.

Teniendo en cuenta el tipo de datos de escaso riesgo y los procedimientos de tratamiento y cesión o traslado que se realizan por parte de yoinviertoenacciones.es, se ha valorado que no es necesario utilizar un método de encriptación cuando se precise realizar la extracción de datos personales fuera del recinto donde se realiza su tratamiento, ya sea por medios físicos o por medios electrónicos.

  • Copia de seguridad: Periódicamente (semanalmente o mayor plazo si no se producen cambios) se realiza una copia de seguridad en un segundo soporte distinto del que se utiliza para el trabajo diario. La copia se almacena en lugar seguro, bajo llave a disposición del responsable. Se trata de un lugar distinto de aquél en que está ubicado el ordenador con los ficheros originales, con el fin de permitir la recuperación de los datos personales en caso de pérdida de la información. También existe una copia de los datos personales que se encuentra en los servicios Cloud y servidores del proveedor de Hosting (la empresa 1&1 Internet España SLU). El ordenador de trabajo está equipado con un sistema de alimentación ininterrumpida (SAI).

 

Las medidas de seguridad serán revisadas de forma periódica, anualmente y de forma manual.

 

 

Relación de Registros.

Para la acreditación del cumplimiento de las medidas organizativas y técnicas en materia de seguridad se mantienen actualizados los siguientes registros internos:

  • Descripción de las actividades de tratamiento.

  • Análisis básico de riesgos.

  • Registro de actividades de tratamiento.

  • Registro de implantación y revisión de medidas de seguridad.

  • Registro de incidencias en el deber de confidencialidad y secreto.

  • Registro de incidencias relacionadas con los derechos de los titulares de los datos.

  • Registro de implantación y mantenimiento de medidas técnicas de identificación.

  • Registro de implantación y mantenimiento de medidas técnicas para garantizar la  salvaguarda de los datos personales.

  • Registro de violaciones de seguridad de datos de carácter personal.