Plan de Contingencia Interno
El objetivo del plan de contingencia es garantizar la continuidad de las actividades y facilitar el aseguramiento, la confidencialidad y la

integridad de los datos personales y de la información, así como de los equipos y activos que la procesan.

Ámbito de aplicación

El plan de contingencia hace referencia al conjunto de activos de Anastasia Boiko Alioshkina, en especial a los sistemas informáticosh(ardware y software), soportes documentales, infraestructura y personal.

El plan de contingencia debe aplicarse con anterioridad a la materialización de un incidente de seguridad, durante el propio incidente y posteriormente, a fin de recuperar el funcionamiento normal de la organización.

Este plan se complementa con la evaluación de riesgos y el registro de equipos e inventarios, los cuales se han tenido en cuenta para la elaboración del mismo, así como con el resto de las políticas internas de la organización.

Medidas preventivas

Anastasia Boiko Alioshkina ha diseñado e implementado las siguientes medidas de seguridad para mitigar los riesgos y evitar un incidente de seguridad en materia de protección de datos:

Política de almacenamiento seguro de los datos personales Política de cifrado de la información
Política de control de acceso a los datos personales
Política de actualización de software y hardware

Política de denuncias internas
Política de destrucción y reutilización de equipos y soportes Política de formación en protección de datos
Política de traslado de soportes
Política de respaldo
Política de uso adecuado de internet y redes wifi
Política uso de contraseñas

Medidas de contención

En caso de producirse un incidente de seguridad, Anastasia Boiko Alioshkina ha establecido las siguientes medidas para contener el incidente y evitar mayores consecuencias:

Impedir el acceso al origen de la brecha de seguridad: Siempre que sea posible debe impedirse al acceso al dominio, conexión, equipo, puerto, actualización u origen del incidente de seguridad para bloquear el ataque.
Cambiar todas las credenciales de acceso a información privilegiada: Deben suspenderse las credenciales y, en caso de ser necesario, cambiarlas o hacer que los usuarios lo hagan de manera segura.

Copia del sistema (clonado): Realizar copias bit a bit del disco duro y analizar la copia por medio de herramientas forenses a fin de determinar el origen y alcance de la incidencia.
Aislar el sistema: Aislar el sistema para revelar los datos con la finalidad de realizar el pertinente análisis.

Eliminación de los datos divulgados: En caso de que los datos personales se hayan divulgado, solicitar que se eliminen estos datos personales.
Control de la difusión de los datos filtrados: Especialmente cuando los datos personales sean sensibles se deberá realizar una vigilancia de su difusión en sitios web y redes sociales.

Medidas de erradicación

Finalmente, una vez contenido el incidente, deben tomarse las medidas necesarias para la erradicación completa del mismo. Anastasia Boiko Alioshkina ha establecido las siguientes medidas:

Definición de un proceso de desinfección: Este proceso se debe basar en firmas, herramientas, nuevas versiones/revisiones de software, etc. Antes de implementarse se debe probar que el proceso funciona adecuadamente y asegurar que no se van a producir daños en los servicios y en los datos personales.
Comprobación de la integridad de todos los datos personales almacenados en el sistema: Se debe realizar mediante un sistema que garantice que los datos personales no han sido modificados, prestando especial atención a los archivos del sistema ejecutables.

Revisión de las actualizaciones y antivirus.
Análisis con antivirus de todo el sistema.
Restaurar las conexiones y los permisos:
Debe realizarse de forma paulatina, especialmente debe asegurarse la integridad de los accesos remotos.

Informe y notificación del incidente

El incidente y todo el proceso de recuperación debe quedar documentado a fin de poder comunicarlo a las personas interesadas así como poder elaborar un informe que analice la situación y permita obtener conclusiones para revisar el plan de prevención.

Es importante obtener evidencias de todo lo acontecido que pueden ser utilizadas como prueba en procedimientos sancionadores y judiciales.

Durante el transcurso del incidente y su posterior solución debe mantenerse la comunicación entre el responsable de seguridad y la gerencia de la organización. Es recomendable realizar un informe que contenga los siguientes puntos:

Descripción del incidente: alcance e impacto
Controles preventivos existentes
Medidas de respuesta tomadas y su impacto en la resolución del incidente Acciones para la prevención de futuros incidentes
Probabilidad de que el incidente se repita ante una casuística igual Medidas de detección aplicadas
Registro de comunicaciones durante la respuesta al incidente

Debe recordarse que, al margen de la implementación de estas medidas y de la documentación del proceso, debe notificarse el incidente a la autoridad de control competente.

El artículo 33 del RGPD establece que la notificación de las brechas de seguridad que afecten a datos personales debe realizarse sin dilación indebida y, de ser posible, a más tardar 72 horas después de su detección, a menos que sea improbable que constituya un riesgo para los derechos y libertades de las personas físicas.

Lo más recomendable es comunicar el incidente a la autoridad de control durante las 72 horas siguientes a su detección ya que, posteriormente, se podrán realizar notificaciones complementarias que aclaren todo aquello que no se hubiera podido comunicar en la notificación inicial.

Asimismo, en caso de que el incidente pueda entrañar un alto riesgo para los derechos y libertades de las personas físicas, se deberá comunicar a los afectados el incidente sin delación indebida, tal y como establece el artículo 34 del RGPD.

Política de actualización de software y hardware

En cumplimiento de las políticas de seguridad de la información y de protección de datos, DOM DISEÑO informa a los trabajadores/as que deberán actualizar los equipos de sistemas de la información con una periodicidad, como mínimo, semestral.

Los sistemas deben estar actualizados a la última versión disponible y las actualizaciones siempre deben ser entregadas por los fabricantes por motivos de seguridad. De este modo, DOM DISEÑO, asegura a sus trabajadores que sus equipos informáticos no estarán expuestos a riesgos. Más concretamente se han implementado las siguientes medidas:

Determinar el software qué debe ser actualizado.
Determinar cuándo y qué actualizaciones se deben instalar.
Probar las actualizaciones y realizar un registro.
Configurar un sistema de alertas.
Recomendable aplicar actualizaciones automáticas.
En la actualización manual las fuentes dónde se obtiene el software debe ser de confianza.
Los Servicios contratados a terceros, deben estar actualizados.
En el momento que el software quede obsoleto y sin soporte oficial por parte del fabricante, dejaremos de utilizarlo.
Revisar la existencia de actualizaciones y parches de seguridad para nuestro software y realizar procedimientos que admitan que dichas actualizaciones y parches se instalen en los equipos de forma segura.

Política de cifrado de la información

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) establece que el Responsable o Encargado debe determinar las medidas técnicas y organizativas más apropiadas para garantizar un nivel de seguridad adecuado al riesgo.

Por ello, Anastasia Boiko Alioshkina ha adoptado una política de cifrado de la información con el objetivo de salvaguardar la confidencialidad, integridad y autenticidad de los datos personales tratados por la organización.

Medidas implementadas
Anastasia Boiko Alioshkina ha adoptado las siguientes medidas:

Uso de firma electrónica: Se utilizará la firma electrónica en los intercambios comerciales y en los trámites con las Administraciones Públicas
Certificados web SSL: La empresa deberá adquirir un certificado web para garantizar la seguridad de la información en un sitio web.

Cifrado de datos sensibles cuando se contratan servicios externos: Se debe comprobar que el servicio externo contratado utiliza canales cifrados para las comunicaciones y herramientas de cifrado en el tratamiento de la información sensible.
Cifrado de datos sensibles cuando se solicitan desarrollos de aplicaciones: Se debe comprobar que se cifran las credenciales de acceso cuando se solicitan desarrollos web o apps que impliquen el login de usuarios.

Acceso desde el exterior con VPN: La empresa deberá habilitar canales VPN cifrados que garanticen la confidencialidad e integridad de las comunicaciones de la política de uso de wifis y conexiones externas cuando tengan trabajadores o autoricen el acceso desde el exterior a los servidores de las instalaciones de la empresa.

Algoritmos de cifrado autorizados: La empresa deberá aplicar y revisar los algoritmos de cifrado para evitar el uso de sistemas de cifrado obsoletos.
Aplicaciones autorizadas para usos criptográficos: Se deberá tener una lista de las aplicaciones autorizadas para fines criptográficos.

Uso de protocolos seguros de comunicación:La empresa deberá proporcionar a los trabajadores los protocolos criptográficos actualizados para el uso de su actividad y formación.

Política de control de acceso a datos personales

La presente política se ha redactado en atención a la normativa de protección de datos y a la norma ISO 27002:2005 de buenas prácticas para la gestión de la seguridad de la información.

El objetivo de esta política es impedir el acceso no autorizado a los datos personales, garantizando así la seguridad y confidencialidad de estos.

Medidas implementadas

Anastasia Boiko Alioshkina ha establecido las siguientes medidas de seguridad:

Los empleados solo tendrán acceso a aquellos recursos y datos que precisen para el desarrollo y cumplimiento de sus funciones.
Se determinará la relación de usuarios y los accesos autorizados para cada uno de ellos en un registro de personal.

Se han establecido mecanismos para evitar que una persona acceda a datos distintos de los autorizados mediante procedimientos de identificación y autentificación como un sistema de usuarios y contraseñas.
Queda expresamente prohibido compartir contraseñas y/o escribir las contraseñas en un lugar visible. Únicamente las personas autorizadas para ello podrán conceder, alterar o anular las autorizaciones de acceso a los datos personales de los demás empleados.

En línea con la Política de almacenamiento seguro de los datos, el acceso a documentos físicos se realizará mediante uso de llaves u otras medidas de seguridad.

Política de denuncias internas

DOM DISEÑO, en virtud del artículo 24 de la LOPDGDD ha implementado un canal de denuncias internas o whistleblowing a fin de facilitar la posibilidad de que los empleados o terceros pongan en conocimiento de la empresa la comisión de actos contrarios a la normativa general o sectorial de protección de datos aplicable cometidos por parte de empleados de la organización o por parte de terceros que contratan con DOM DISEÑO.

Las denuncias internas se podrán realizar incluso de forma anónima, preservando la identidad del denunciante. En caso de que la persona denunciante se hubiera identificado deberán adoptarse las medidas necesarias para preservar su identidad y garantizar la confidencialidad de sus datos, así como los de las personas afectadas.

Plazo de conservación de los datos

Los datos de la persona que formula la comunicación, de los empleados y terceros se conservarán en el sistema de denuncias internas durante el tiempo imprescindible para la decisión sobre la procedencia o improcedencia de la iniciación de una investigación sobre los hechos objeto de la denuncia.

El plazo de conservación general de dichos datos es de tres meses desde la introducción de los mismos, transcurrido dicho plazo se procederá a la supresión de los mismos, excepto que su conservación tenga como finalidad dejar evidencia del funcionamiento del modelo de prevención de la comisión de delitos por la persona jurídica (compliance penal).

Sin perjuicio de su conservación por un plazo superior a los tres meses establecidos, los datos de las denuncias se podrán conservar de forma anonimizada, sin necesidad de proceder al bloqueo de los datos.

Asimismo, los datos podrán tratarse por un plazo superior a los tres meses para la investigación de los hechos denunciados, siempre que no se conserven en el sistema de información de denuncias internas.

Acceso a los datos del sistema de información de denuncias internas

Únicamente podrán acceder a los datos contenidos en el canal de denuncias internas quienes tengan encomendadas las funciones de control interno y de cumplimiento o compliance, pudiendo tratarse de personas que formen o no parte de la organización o los encargados del tratamiento designados para la realización de estas funciones. Asimismo, podrán acceder otras personas cuando ello resulte necesario para la adopción de medidas disciplinarias o para la tramitación de procedimientos judiciales.

Se notificará a la autoridad competente los hechos que se incardinen como ilícitos penales o administrativos, pudiendo permitir el acceso al personal encargado de la gestión y control de recursos humanos únicamente cuando proceda adoptar medidas disciplinarias contra un trabajador.

Política de Desconexión Digital

De acuerdo con el artículo 88 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantías de los derechos digitales (en adelante, LOPDGDD) la empresa quiere resaltar la importancia de garantizar el derecho a la desconexión digital y por ello, reconoce a todos sus trabajadores la referida desconexión digital fuera de su jornada laboral, con la máxima de garantizar el derecho a intimidad de los mismos.

DOM DISEÑO ha adoptado una política o protocolo que regula el derecho a la desconexión digital en el contexto del derecho a la intimidad por el uso de los dispositivos electrónicos en el ámbito laboral de acuerdo con la LOPDGDD. Más concretamente se han diseñado e implementado las siguientes medidas:

Los empleados tienen el derecho de dejar los dispositivos digitales, como pueden ser móviles, tablets u ordenadores portátiles en el puesto de trabajo, sin que en ningún caso se les pueda exigir que hagan uso de los mismos fuera de su jornada laboral.

Los empleados tienen derecho a no acceder a su correo electrónico de empresa cuando no se encuentren en su lugar y horario de trabajo.

En ningún caso los empleados podrán ser sancionados por el hecho de no responder a llamadas o correos electrónicos fuera de su horario de trabajo.

Se fomentará el derecho a la desconexión digital, en los casos de aquellos trabajadores que realicen funciones laborales desde el domicilio particular de los mismos, tomando todas las medidas necesarias para ello.

[Incluir medidas específicas implementadas por la empresa]

El cumplimiento de la referida política es obligatoria para todos los integrantes de la empresa. Y por ello, todos los trabajadores han sido informados del procedimiento a seguir para dar cumplimiento a la misma. Se evidencia así, la existencia de un protocolo para ejercer el referido derecho por parte del interesado, y resolver las solicitudes recibidas sin dilaciones indebidas.

Asímismo, DOM DISEÑO ha adoptado todas las medidas de seguridad establecidas en la legislación actual sobre protección datos, en el caso de vulnerarse el referido derecho, el afectado podrá ejercer el mismo, mediante escrito dirigido a:

Responsable del tratamiento: Anastasia Boiko Alioshkina
N.I.F:70960353V
Dirección:Calle Acacias, 32, 49190, Morales del Vino, España
Responsable: Anastasia Boiko Alioshkina – anastasia@domdiseno.com

Política de destrucción y reutilización de equipos y soportes

En cumplimiento de las políticas de seguridad de la información y de protección de datos, DOM DISEÑO informa a los trabajadores/as como deberán destruir tanto los documentos físicos y soportes digitales, así como la reutilización de los equipos de sistemas de la información.

Asimismo, la empresa informa a sus trabajadores en cuanto a la destrucción de datos las siguientes medidas:

– La destrucción de información propiedad de la empresa debe realizarse de un modo que haga imposible la recuperación de la misma en los ordenadores, portátiles, memoria externa, etc.
– La destrucción física de soportes digitales como el formateo del mismo se realizará por el departamento o personal autorizado de la empresa.

– Para la destrucción de información confidencial en papel se debe realizar siguiendo los procedimientos vigentes (aquellos que implementa la empresa) y siempre de modo seguro.
[Añadir las medidas de seguridad que son diseñadas por la empresa].

Anastasia Boiko Alioshkina señala que ha implementado los medios necesarios para la eliminación de los datos que se encuentren en soporte de papel y en soporte digital, bien a través de destructoras de papel o empresas homologadas de destrucción. Asimismo la forma y los plazos de eliminación de los soportes dependerá del tipo de datos y de las normas internas de la empresa, que son las siguientes:

[Añadir las medidas adicionales implementadas].
En cuanto a la reutilización de equipos y soportes propiedad de la Empresa, se implementan las

siguientes medidas:

Formatear los equipos con el fin de restablecer los discos duros, una memoria USB o cualquier dispositivo que instale datos, a su estado original, borrando, de forma definitiva, los datos que este contiene.

Política de formación en protección de datos

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos señala la importancia de la formación a sus trabajadores y colaboradores externos en diferentes artículos (en adelante, RGPD). En concreto el artículo 28 en las funciones del Encargado del Tratamiento, asimismo el artículo 39 señala que una de las funciones del Delegado de Protección de Datos es la relevancia y formación de los trabajadores y colaboradores externos y el artículo 47 relacionado al contenido de las normas vinculantes sobre la formación de datos.

DOM DISEÑO, ha adecuado una política para que sus trabajadores tengan una formación en protección de datos con el fin de garantizar el cumplimiento normativo del programa implementado en la empresa.

De este modo, se formará a los trabajadores de manera continua en la referida materia con el fin de evitar posibles brechas de seguridad y una posterior sanción económica por incumplimientos por parte de los trabajadores en la gestión de los datos.

DOM DISEÑO, Empresa quien realiza la adecuación o el DPO es el encargado de realizar la formación de la siguiente forma:

Se enviará una circular informativa mediante correo electrónico a todos los trabajadores donde se recogerá el día, hora y lugar donde se realizará la formación en protección de datos.

Las sesiones formativas se impartirán de forma bimensual para actualizar e informar de los diferentes conceptos a los trabajadores y posibles colaboradores en materia de seguridad de datos, así como de las novedades e información de interés para el sector en que opere la empresa.

La formación puede ser presencial u online. En las sesiones formativas, los trabajadores pueden preguntar sobre las dudas o cuestiones que les interesen, así como contar con ejemplos prácticos.

Una vez concluida la formación, los participantes de la misma firmarán el acta de acuerdo han recibido la formación impartida, la cual será una evidencia de la responsabilidad proactiva en materia de protección de datos.

La formación se personaliza de acuerdo con los diferentes departamentos de la empresa, así como del acceso a los datos por cada trabajador y el nivel de los mismos, en cuanto sean sensibles o no.

El cumplimiento de la referida política es obligatoria para todos los integrantes de la empresa. Y por ello, todos los trabajadores han sido informados de las medidas a seguir para dar cumplimiento a la misma. Se evidencia así, la existencia de un protocolo para ejercer la formación por parte del interesado, y resolver las solicitudes recibidas sin dilaciones indebidas.

Asímismo,DOM DISEÑO, ha adoptado todas las medidas de seguridad establecidas en la legislación actual sobre protección de datos, en el caso de vulnerarse las referidas medidas, el afectado debe poner en conocimiento al responsable de seguridad.

Política de traslado de soportes

DOM DISEÑO, cuenta con una política de soportes permanentemente actualizado y con las directrices marcadas por el responsable de seguridad para realizar el traslado de los mismos por parte del personal de la empresa que tengan acceso a ellos.

El personal con acceso a los soportes y, autorizados para realizar el traslado de los mismos deben cumplimentar los siguientes apartados con el fin de adoptar las medidas previstas en el documento de seguridad.

Soporte con número de identificación: Fecha de traslado:
Tipo de información que contiene: Traslado/ Ubicación:

Personal con acceso:

Política de respaldo

DOM DISEÑO ha implementado una política de respaldo o backups a fin de garantizar la seguridad de la información, así como la confidencialidad, integridad y disponibilidad de los datos personales objeto de tratamiento por parte de la empresa.

El responsable debe tomar las siguientes medidas:

Inventario de activos de información: El responsable debe identificar toda la información necesaria, respecto de las cuales deberá realizarse la copia de seguridad.
Control de acceso: Las copias de seguridad se someterán a un control de acceso, de conformidad con la política de accesos restringidos al personal autorizado a tratar los datos.

Copias de seguridad de la información crítica: Las copias de seguridad deben realizarse respecto a la información crítica, tanto corporativa, como de la información exigida por la ley y de la información de contratos con terceros.
Periodicidad de las copias de seguridad. El responsable debe determinar la periodicidad de la realización de las copias de seguridad.

Fijar con cuánta frecuencia hacer las copias de seguridad.El responsable debe tener en cuenta la variación de los datos generados y su actualización
Tipo de copia apropiada. Se debe decidir qué tipo de copia de seguridad es la idónea: completa, si se copian todos los datos; incremental, si solo se graban los datos que han cambiado desde la anterior copia de seguridad o diferencial, si se copian los datos que han cambiado desde la última copia completa.

Caducidad de las copias de seguridad. El responsable debe decidir cuánto tiempo conservar las copias de respaldo teniendo en cuenta si la información almacenada está vigente, si el soporte en el que se realizan las copias tiene una duración determinada y si hay necesidad de conservar varias copias. Ubicación de las copias de seguridad. El responsable debe determinar el lugar seguro para la realización de las copias. Debe haber al menos una copia fuera de la organización.

Copias en la nube. El responsable debe tomar medidas de seguridad como cifrar la información confidencial antes de realizar la copia.
Soporte de las copias de seguridad. Debe decidirse el soporte de las copias de seguridad teniendo en cuenta el coste, la fiabilidad y la capacidad de los soportes.

Control de los soportes de copia. El responsable debe identificar cada uno de los soportes donde se realizan copias de seguridad para poder llevar un registro de los soportes.

Política de uso adecuado de Internet y redes WIFI

Los trabajadores/as deben procurar un uso seguro de Internet y las redes WIFI, informando en todo caso al Responsable o Delegado de Protección de Datos de cualquier incidencia que pueda comprometer la seguridad del sistema y de los datos de carácter personal.

Los trabajadores/as tienen prohibido expresamente el acceso a páginas web que supongan una actividad ilegal, o de contenido no relacionado con el trabajo, así como también el acceso a páginas de dudosa procedencia.

Los trabajadores/as cuando utilicen los equipos y dispositivos de la empresa fuera del centro de trabajo tienen prohibido conectarse a redes WIFI públicas o de acceso gratuito.

Algunas de las medidas de seguridad que se deben adoptar para proteger las redes wifi son:

Cambiar la contraseña del router que viene por defecto por una contraseña segura.
Asignar el sistema de seguridad o de encriptación WPA2.
Modificar el nombre de la red WIFI o el SSID que habitualmente viene asignado por defecto. Es recomendable sustituirlo por un nombre que no revele la identidad de la organización.
Verificar los dispositivos conectados a la red wifi a fin de evitar la conexión de dispositivos ajenos a la organización.

Políticas uso de contraseñas

DOM DISEÑO pone a disposición de los trabajadores de la empresa una política de contraseñas segura, con el fin de salvaguardar la información confidencial y los datos personales, los cuales se destinan al desarrollo de la actividad de la empresa. Los trabajadores acceden a los recursos informáticos propiedad de la empresa o aquellos personales destinados al ámbito laboral por medio de contraseñas personales, únicas e intransferibles. Las referidas contraseñas deben ser protegidas, y la empresa va a implementar las siguientes medidas:

Las contraseñas deben ser personales e intransferibles, y por ello, es imperativo que las mismas nunca sean compartidas con otras personas, a excepción de las situaciones justificadas y con una previa comunicación al mismo.
A la creación de las contraseñas, los trabajadores deben crear una contraseña segura. De modo general, las mismas deben cumplir una serie de condiciones, es decir, un mínimo de ocho caracteres, letras mayúsculas, minúsculas, y números y/o caracteres especiales.

Las contraseñas se cambiarán, como mínimo, una vez cada seis meses, pasado este periodo se deben cambiar con la finalidad de mantener la seguridad en las mismas.
(Establecer las medidas adicionales en materia de contraseñas implementadas por la empresa)

Esta política debe ser cumplida y conocida por todos los trabajadores e integrantes de la empresa. Además, Anastasia Boiko Alioshkina podrá actualizarla de forma continua para cumplir con la normativa aplicable en seguridad de la información.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Close
Close
Sign in
Close
Cart (0)

No hay productos en el carrito. No hay productos en el carrito.