documento de seguridad cospa-agilmic, s.l.u
TRANSCRIPT
Manuel López Álvaro
Director de Administración y Finanzas
y Servicios Corporativos
Versión 03-09-2014
DOCUMENTO DE SEGURIDAD
COSPA-AGILMIC, S.L.U.
Cospa & Agilmic, S.L.U. Documento de Seguridad
2
INDICE
0. INTRODUCCIÓN
1. CONCEPTOS BÁSICOS
2. ÁMBITO DE APLICACIÓN DEL DOCUMENTO DE SEGURIDAD
2.1 Responsable de los Ficheros
2.2 Responsable de Seguridad
2.3 Relación de Ficheros afectados por el Documento de Seguridad
2.3.1 Ficheros responsabilidad de la Compañía
2.3.2 Ficheros tratados como encargado del tratamiento
2.3.3 Medidas de seguridad como desarrollador de programas
2.4 Sistemas de información de la Compañía
2.4.1 Programas
2.4.2 Soportes
2.4.3 Estructura de la red y equipos
2.4.4 Ficheros no automatizados de la Compañía
3. FUNCIONES Y OBLIGACIONES DEL PERSONAL CON ACCESO A LOS FICHEROS
3.1 Responsable de los Ficheros
3.2 Responsable de Seguridad
3.3 Personal de la Compañía
4. MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS Y ESTÁNDARS DE SEGURIDAD
4.1 Acceso a los datos a través de redes de telecomunicaciones
4.2 Régimen de trabajo fuera de los locales de la ubicación de los ficheros
4.3 Ficheros temporales
Cospa & Agilmic, S.L.U. Documento de Seguridad
3
Nivel de seguridad básico:
4.4 Identificación y autenticación
4.5 Copias de seguridad y recuperación de datos
4.6 Limitación en el uso de datos reales
Nivel de seguridad alto:
4.7 Registro de accesos
4.8 Auditorias periódicas
4.9 Redes de telecomunicaciones
4.10 Resumen de medidas de seguridad
5. INCIDENCIAS EN RELACIÓN EN LOS FICHEROS
6. TRATAMIENTO DE DATOS POR CUENTA DE TERCEROS
ANEXOS
Cospa & Agilmic, S.L.U. Documento de Seguridad
4
0. INTRODUCCIÓN
Este documento tiene la finalidad de establecer las medidas de tipo técnico y
organizativo que Cospa & Agilmic, S.L.U. (a partir de ahora, “la Compañía” o “el
Responsable de los Ficheros”), ha tomado para proteger los recursos con datos
personales de que dispone para el ejercicio de sus actividades empresariales. Con
este objetivo, la Compañía redacta este documento (a partir de ahora, "Documento de
Seguridad"), con el fin de adecuar sus actividades a la normativa en vigor en materia
de protección de datos, especialmente a la Ley Orgánica 15/1999, de 13 de diciembre,
de Protección de Datos de Carácter Personal (a partir de ahora, "LOPD") y al Real
Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de
desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de
carácter personal (a partir de ahora, "Reglamento de Seguridad"). Este Documento de
Seguridad está redactado en virtud de lo que dispone el citado Reglamento de
Seguridad.
Adicionalmente la Compañía se compromete a mantener actualizado el
presente Documento de seguridad, ya sea en ocasión de cambios significativos en su
estructura que afecten a los datos personales que en ejercicio de sus funciones trata o
bien por modificaciones legislativas que afecten directamente a su actividad en este
ámbito.
La actividad de la Compañía la hace especialmente sensible en materia del
cumplimiento de la normativa de protección de datos, puesto que debido a dicha
actividad aloja en programas desarrollados y/o comercializados por ella misma, entre
otros, datos responsabilidad de sus clientes, relacionados con menores de 14 años y
que incluso pueden revelar información relacionada con su salud. Es por este motivo
que la Compañía tiene una especial diligencia en el desarrollo de dichos programas y
aplicaciones y en las operaciones que pueden llevarse a cabo una vez sus clientes
alojan datos en dichos programas. En todo caso y en relación a los datos alojados en
dichos programas la Compañía accede a los mismos como un encargado del
tratamiento, resultando obligado a la aplicación de las medidas de seguridad
reglamentariamente exigibles.
Cospa & Agilmic, S.L.U. Documento de Seguridad
5
1. CONCEPTOS BÁSICOS
A efectos de este Documento de Seguridad a los siguientes términos se les
asignará estas definiciones:
Dato de carácter personal: Cualquier información relativa a personas físicas
identificadas o identificables.
Fichero: Todo conjunto organizado de datos de carácter personal,
independientemente de la forma o la modalidad de su creación, almacenamiento,
organización y acceso.
Tratamiento de datos: Operaciones y procedimientos técnicos de carácter
automatizado o no, que permitan la recogida, grabación, conservación, elaboración,
modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de
comunicaciones, consultas, interconexiones y transferencias.
Responsable del fichero: la persona física o jurídica de carácter privado o
público, u órgano administrativo, que decida sobre la finalidad, contenido y uso del
tratamiento.
Responsable de seguridad: persona o personas en las que el responsable
del fichero asigna la función de coordinar y controlar las medidas de seguridad
aplicables.
Encargado del tratamiento: la persona física o jurídica que trate datos por
cuenta del responsable del fichero.
Sistemas de información: conjunto de ficheros automatizados, programas,
soportes y equipos utilizados para almacenar y tratar datos personales.
Sistema de tratamiento: modo en que se organiza o utiliza un sistema de
información. Atendiendo al sistema de tratamiento, los sistemas de información podrán
ser automatizados, no automatizados o parcialmente automatizados.
Cospa & Agilmic, S.L.U. Documento de Seguridad
6
2. ÁMBITO DE APLICACIÓN DEL DOCUMENTO DE SEGURIDAD
2.1. Responsable de los Ficheros
El presente Documento de Seguridad será de aplicación a los ficheros,
automatizados o no, soportes, programas y equipos con datos de carácter personal de
que dispone la Compañía, como Responsable de los Ficheros tiene la obligación de
implementar las medidas previstas en este Documento de Seguridad y de mantenerlo
debidamente actualizado.
A continuación se incluyen los datos identificativos de la Compañía y la
dirección exacta donde se encuentran ubicados estos ficheros.
Domicilio Social de la Compañía:
Calle Bravo Murillo, 377 6ª planta
28020 Madrid
CIF: B84537653
Otras oficinas de la Compañía:
Bilbao: Puente de Deusto, 7; 48014 Bilbao
San Fernando de Henares: Avenida de Castilla, 32-nave 26; 28830 Madrid
Sevilla: Dr. González Caraballo, 1; 41020 Sevilla
Valladolid: Santuario, 3; 47002 Valladolid
Barcelona: Pge. Bofill, 9-11; 8013 Barcelona
Servicios Externos
Edificio Acens
C/ San Rafael,14
28108 Alcobendas, Madrid
Teléfono: 911 418 502
Fax: 911 418 501
Cospa & Agilmic, S.L.U. Documento de Seguridad
7
2.2. Responsable de Seguridad1
En virtud de la actividad de la Compañía, ésta ha nombrado Responsables de
seguridad de los Sistemas de Información de sus principales sedes, así como un
Responsable de seguridad de las aplicaciones que desarrolla y comercializa.
Finalmente se ha nombrado un Responsable de seguridad general que coordina la
aplicación efectiva de las medidas de seguridad establecidas en este Documento.
Responsables de Seguridad Madrid: Juan Carlos García e Iván González.
Responsable de Seguridad Barcelona: José Antonio Pérez
______________________________
Firma
1 Artículo 95 del Reglamento de Seguridad: “En ningún caso esta designación (la del Responsable de
Seguridad) supone una delegación de la responsabilidad que corresponde al responsable del fichero de acuerdo con
este Reglamento.”
Cospa & Agilmic, S.L.U. Documento de Seguridad
8
Responsable de seguridad de aplicaciones: Borja de Temple
______________________________
Firma
Los Responsables de Seguridad, son las personas indicadas para, según lo
que establece el artículo 91.4 del Reglamento de Seguridad, conceder, alterar o anular
el acceso autorizado sobre los recursos de la Compañía.
Cospa & Agilmic, S.L.U. Documento de Seguridad
9
2.3. Relación de los Ficheros afectados por el Documento de Seguridad
Datos de empresarios individuales y personas de contacto de personas
jurídicas
El RLOPD no resulta de aplicación a los datos de personas jurídicas. Nos
referimos en este punto a un supuesto común que se da en muchos de los
Departamentos de la Compañía y que se refiere a los datos de empresarios
individuales y de personas de contacto de las personas jurídicas, datos que
normalmente son incluidos en los ficheros de clientes y proveedores de la Compañía.
Estos dos supuestos están regulados en los apartados 2 y 3 del Real Decreto
1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de
la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter
personal (en adelante, “Reglamento LOPD”), donde se indica:
“2. Este reglamento no será aplicable a los tratamientos de datos referidos a
personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las
personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su
nombre y apellidos, las funciones o puestos desempeñados, así como la dirección
postal o electrónica, teléfono y número de fax profesionales.
3. Asimismo, los datos relativos a empresarios individuales, cuando hagan
referencia a ellos en su calidad de comerciantes, industriales o navieros, también se
entenderán excluidos del régimen de aplicación de la protección de datos de carácter
personal.”
Por lo tanto los datos de las personas jurídicas (o de sus representantes o
personas de contacto) o de los empresarios individuales, no están sujetos a lo
establecido en la normativa de protección de datos.
Cospa & Agilmic, S.L.U. Documento de Seguridad
10
Datos de empresarios o profesionales individuales:
De la doctrina vigente, cabe deducir dos primeras premisas básicas que deben
servir para abordar este caso concreto:
Para discernir si los datos de un profesional o comerciante individual, deben ser
considerados como personales o no (lo que comportaría la aplicación de la LOPD y la
normativa de desarrollo), es necesario ir caso por caso. A pesar de las reglas que a
continuación expondremos, el Tribunal Supremo en su sentencia de 20/02/2007,
recuerda que “(…) exigirá siempre ir analizando caso por caso para hallar en cada
supuesto concreto el límite fronterizo donde resulte afectado el derecho fundamental a
la protección de datos de los interesados personas físicas, o, por el contrario, aquél no
resulte amenazado por incidir tan sólo en la esfera de la actividad comercial o
empresarial (…)”.
En caso de duda en la aplicación de las reglas que expondremos a
continuación, no siendo posible determinar con certitud si un dato relativo a un
profesional o comerciante individual, es personal o no, el Tribunal Supremo nos
recuerda, en esa misma sentencia, “(…) la solución deberá siempre adoptarse a favor
de la protección de los derechos fundamentales (…)”. Por tanto, en caso que una vez
analizado el caso concreto persista la duda, debemos decantarnos por conceder a la
información relativa al profesional o comerciante individual, las garantías relativas a la
protección de datos.
Vistas las reglas básicas los datos de un profesional o comerciante individual,
se considerarán personales y por tanto, dispondrán de las garantías recogidas en la
LOPD y demás normativa de desarrollo, cuando:
En el caso de profesionales individuales, cuando estos no tengan organizada
su actividad bajo la forma de empresa, no ostentando, por tanto, la condición de
Cospa & Agilmic, S.L.U. Documento de Seguridad
11
comerciante (por ejemplo los profesionales liberales, expresamente excluidos del
ámbito de aplicación de la Ley Básica 3/1993 de Cámaras de Comercio, Industria y
Navegación, en su artículo 6.2). Un ejemplo de este supuesto serían los datos de un
abogado individual que se identificara en el tráfico mercantil con su nombre físico,
quedando el tratamiento de los mismos a lo dispuesto en la LOPD y demás normativa
de desarrollo.
En relación a los datos relativos a comerciantes individuales quedaría bajo el
paraguas protector de la LOPD, en el caso que no fuera posible diferenciar su
actividad mercantil de la propia actividad privada. Nos estamos refiriendo en este caso,
a los autónomos que son definidos en el artículo 1.1 de su Estatuto (Ley 20/2007),
como a las “(…) personas físicas que realicen de forma habitual, personal, directa, por
cuenta propia y fuera del ámbito de dirección y organización de otra persona, una
actividad económica o profesional a título lucrativo, den o no ocupación a trabajadores
por cuenta ajena.”.
De esta regla establecida por la doctrina actual, cabe deducir por tanto, que la
aplicabilidad o no de la LOPD y de la demás normativa de desarrollo, no dependerá de
si un dato o información concreta hace referencia a un profesional, sino de la
naturaleza de persona física o jurídica el titular del dato. En consecuencia, el hecho de
que un profesional o comerciante individual utilice sus datos personales para
distinguirse en el ámbito de una actividad mercantil, no implica que quien trate esos
datos pueda quedar al margen de las previsiones de la normativa vigente en materia
de protección de datos.
Por último la Sentencia de la Audiencia Nacional, Sección 1ª, de 29 de marzo
de 2006, añade nuevos elementos para ayudarnos en el caso que una vez aplicadas
las reglas precedentes aún no podamos determinar si un dato de un profesional o
comerciante individual, tiene la característica de personal o no:
Cospa & Agilmic, S.L.U. Documento de Seguridad
12
a) Criterio objetivo: según el cual debemos fijarnos en la naturaleza del dato y
tratar de resolver si el mismo se refiere a la esfera personal o íntima o a la
profesional de su titular.
b) Criterio de la finalidad: por último también disponemos del criterio por el
cual resulta necesario conocer la finalidad u objetivo concreto para el que
quiera tratarse el dato, concluyendo así, que hay finalidades estrechamente
relacionadas con la vida personal o íntima y otras con la actividad
profesional.
Datos de personas de contacto de personas jurídicas:
Para excluir la aplicación de la normativa de protección de datos en el caso de
las personas de contacto de las personas jurídicas, es necesario que el tratamiento del
dato de la persona física de contacto de la empresa, sea puramente incidental o
accidental del mencionado tratamiento. La AEPD ha sostenido que las direcciones de
correo electrónico en que figuran algunos nombres de personas de la empresa con las
que el responsable del tratamiento mantuvo relación comercial “(…) se trata de
direcciones institucionales de empresa que, por lo tanto, no tienen la consideración de
dato personal, por lo que procede acordar el archivo de las actuaciones previas de
investigación.”
Por tanto, vista la regulación del RLOPD y la doctrina de la AEPD, para excluir
la aplicación de la normativa de protección de datos en relación a los datos de las
personas de contacto de las personas jurídicas, es necesario el cumplimiento de dos
requisitos:
Que los datos se refieran exclusivamente, al nombre y apellidos, funciones
puestos desempeñados, dirección postal o electrónica, teléfono y número de fax
profesional. La inclusión en un fichero y el tratamiento de cualquier otro dato relativo a
dicha persona, quedaría amparada por la LOPD y su normativa de desarrollo.
Cospa & Agilmic, S.L.U. Documento de Seguridad
13
El tratamiento del dato debe ser meramente incidental, de forma que la
finalidad de su tratamiento debe ser, mantener la relación con la persona jurídica y el
uso del dato de la persona física debe dirigirse exclusivamente, a colmar dicha
finalidad.
2.3.1. Ficheros responsabilidad de la Compañía
A continuación se incluye una relación completa de los ficheros de que dispone
la Compañía, que ésta trata como responsable, indicando la estructura2 de los
mismos:
a) Fichero de Clientes
• Nombre del Fichero: Clientes.
• Soporte del Fichero: Informático Logic Control (Class).
• Encargados del tratamiento: Ver Anexo II.
• Finalidades del fichero: Fichero maestro de la Compañía para la gestión de los cobros a sus clientes y mantenerlos informados de ofertas comerciales relacionadas con su actividad.
• Datos que recoge el fichero:
a) Nombre y apellidos.
b) Dirección (postal, electrónica).
c) DNI/NIF.
d) Teléfono.
2 El Anexo I recoge impresiones de pantalla de los distintos programas a efectos de conocer los datos
archivados en los ficheros de la Compañía.
Cospa & Agilmic, S.L.U. Documento de Seguridad
14
e) Datos bancarios.
f) Bienes y servicios recibidos por el afectado.
• Nivel de seguridad: Básico.
b) Fichero de Proveedores
• Nombre del Fichero: Proveedores.
• Soporte del fichero: Informático Logic Control (Class)
• Encargado del tratamiento: Ver Anexo II.
• Finalidades del fichero: Fichero maestro de la Compañía para la gestión de pagos a los proveedores.
• Datos recogidos:
a) Nombre y apellidos.
b) DNI/NIF.
c) Dirección (postal, electrónica).
d) Teléfono.
e) Datos bancarios.
f) Bienes y servicios suministrados por el afectado.
• Nivel de seguridad: Básico.
Cospa & Agilmic, S.L.U. Documento de Seguridad
15
c) Fichero de Trabajadores
• Nombre del Fichero: Trabajadores.
• Soporte del Fichero: Papel.
• Encargado del tratamiento: Ver Anexo II.
• Finalidades del fichero: Fichero maestro de la Compañía para la gestión de su personal.
• Datos que recoge el fichero:
a) Datos de salud.
b) Nombre y apellidos.
c) DNI/NIF.
d) Nº. S.S./ Mutualidad.
e) Datos económicos de la nómina.
f) Datos no económicos de la nómina.
g) Ingresos.
h) Datos bancarios.
• Nivel de seguridad: Básico3.
d) Fichero de Currículums
• Nombre del Fichero: Currículums.
3 A pesar que el fichero de trabajadores recoge datos de salud, el artículo 81.6 del Real Decreto
1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13
de diciembre, de protección de datos de carácter personal, permite la implementación de medidas de nivel básico para
este fichero.
Cospa & Agilmic, S.L.U. Documento de Seguridad
16
• Soporte del tratamiento: Papel.
• Encargado del tratamiento: No.
• Finalidades declaradas: Fichero maestro de la Compañía para cubrir vacantes laborales.
• Datos recogidos:
a) Nombre y apellidos.
b) DNI/NIF.
c) Dirección.
d) Teléfono.
i) Imagen.
j) Datos de estado civil.
k) Fecha de nacimiento.
l) Sexo.
m) Nacionalidad.
n) Lengua materna.
o) Situación militar.
p) Afecciones y estilos de vida.
q) Formación, titulaciones.
r) Historial de estudiante.
s) Experiencia profesional.
• Nivel de seguridad: Medio.
e) Fichero de Usuarios Web
• Nombre del Fichero: Usuarios Web.
Cospa & Agilmic, S.L.U. Documento de Seguridad
17
• Soporte del tratamiento: Informático.
• Encargado del tratamiento: No.
• Finalidades declaradas: Fichero maestro de la Compañía para gestionar los contactos generados desde su página web (www.cospa-agilmic.com).
• Datos recogidos:
a) Nombre y apellidos.
b) DNI/NIF.
c) Dirección postal y/o electrónica.
d) Teléfono.
• Nivel de seguridad: Básico.
f) Fichero de Visitas
• Nombre del Fichero: Visitas.
• Soporte del Fichero: Informático y papel.
• Encargados del tratamiento: Ver Anexo II.
• Finalidades del fichero: Fichero de la Compañía para controlar el acceso de personas ajenas, a sus oficinas
• Datos que recoge el fichero:
a) Nombre y apellidos.
b) Puesto de trabajo.
• Nivel de seguridad: Básico.
Cospa & Agilmic, S.L.U. Documento de Seguridad
18
g) Fichero de Grabaciones Telefónicas
• Nombre del Fichero: Grabaciones Telefónicas4.
• Soporte del tratamiento: Informático.
• Encargado del tratamiento: Ver Anexo II.
• Finalidades declaradas: Fichero maestro de la Compañía para gestionar y controlar la atención al cliente ofrecida por sus trabajadores.
• Datos recogidos:
a) Voz.
• Nivel de seguridad: Básico.
2.3.2. Ficheros tratados como encargado del tratamiento
Según la actividad de la Compañía, ésta puede tratar datos personales
ubicados en ficheros responsabilidad de sus clientes, por lo que según lo establecido
en el artículo 12 de la LOPD y debido a que accede a esos datos para la exclusiva
finalidad de la prestación de un servicio, la Compañía tiene la consideración de
encargado del tratamiento.
Contractualmente la Compañía se compromete además, a tomar ciertas
medidas de seguridad encaminadas a garantizar el debido uso y tratamiento de esos
datos, aplicando aquellas especialmente previstas en el Reglamento de Seguridad,
atendiendo al nivel de seguridad exigible.
4 La Compañía ha elaborado un protocolo de llamadas que se acompaña al presente documento como
Anexo XVI.
Cospa & Agilmic, S.L.U. Documento de Seguridad
19
La Compañía ha establecido el siguiente sistema de recepción de datos por
parte de los Clientes, de forma que no sea necesario el acceso a sus datos
personales:
ALEXIA:
Esta es la plataforma actualmente comercializada para la gestión académica de
los centros docentes y cuyos derechos corresponden en exclusiva a Compañía. En el
Anexo XIV, se incluye una copia del Manual LOPD de Alexia.
SIGMA:
Según los módulos u opciones que se estén utilizando en el programa, la base
de datos de SIGMA contendrá datos que se pueden considerar de nivel bajo, medio o
alto. En Cospa&Agilmic puede necesitarse dicha base de datos para diagnosticar
determinados problemas al cliente pero podría darse el caso de que el centro, por
política relacionada con la LOPD, tenga dificultades para mandar esta información.
Para enviar datos a Cospa&Agilmic, se incluyó en Sigma una opción que
permite realizar una copia de la BBDD, pero enmascarando u omitiendo la información
sensible a la que hace referencia la LOPD, reduciendo así el reparo que pudiera tener
el centro a sacar datos fuera de sus instalaciones y permitiendo a la empresa el
estudio del problema, si bien es cierto que para determinados diagnósticos será
imprescindible toda la información, aunque el contrato firmado con Cospa&Agilmic
garantiza el cuidado en el tratamiento de esos datos.
Para acceder a dicha opción haga clic en AYUDA � ENVÍO DE DATOS AL
SAT, y se mostrará la siguiente pantalla:
Desde esta pantalla podrá elegir la información que desea enmascarar.
Cospa & Agilmic, S.L.U. Documento de Seguridad
20
Con el botón ACTIVAR se marcará toda la información sensible (al hacer clic sobre
este botón, se mostrará como DESACTIVAR) para desmarcar todas las opciones).
El botón EJECUTAR, realizará la copia una vez elegidas todas las opciones de
configuración deseadas.
Se distingue entre Datos del colegio y Datos constantes, ya que en Sigma se
trabaja con 2 bases de datos:
Los datos del colegio contienen la información específica del centro: alumnos,
familias, profesores, evaluación, etc.
En los datos constantes se incluyen datos generales que suelen ser comunes
a todos los centros: Provincias, países, etc. Es por ello que en esta base de datos no
existen datos personales, pero se incluye en el proceso de copia para facilitar el envío
de toda la información necesaria a Cospa&Agilmic S.L.U..
La información se enmascara diferente según los datos elegidos. Así por
ejemplo si elige las opciones por defecto (por ser las más sensibles), datos médicos,
psicológicos y diario médico, esta información normalmente se borrará de la copia y no
será enviada. En cambio el resto de la información simplemente se enmascarará para
que no se pueda identificar a la persona pero seguirá existiendo.
Por ejemplo, si elegimos enmascarar nombre de padre, alumno, etc. (primera
opción), el resultado será el mostrado a continuación:
Cospa & Agilmic, S.L.U. Documento de Seguridad
21
Como puede comprobar, donde existían datos personales identificativos, se ha
sustituido por el nombre del dato seguido de la matrícula del alumno. Con el dato
matrícula del alumno se facilitará el diagnóstico, pero no se podrá identificar al alumno.
Con el resto de información sensible se sigue el mismo criterio (salvo datos
médicos y psicológicos que tal y como hemos visto, se no se incluyen directamente).
Si fuera necesario incluir los datos médicos y psicológicos, se podría desmarcar esta
opción en el envío, pero enmascarar el resto de datos identificativos, de forma que se
podrán realizar diagnósticos sin posibilidad de identificar a los alumnos.
Puede elegir donde se copiarán los datos que posteriormente y por el método
más apropiado, enviará a Cospa&Agilmic S.L.U., para ello elija la ruta a través del
control que encontrará en el área inferior de la pantalla:
Una vez elegidas las opciones para enmascarar los datos, si incluirá o no los
datos de constantes, y la ruta donde se ubicarán las copias resultantes, haga clic en el
botón de ejecución, y se creará una copia “EnviosSAE” con los datos
correspondientes, tal y como se muestra en la siguiente figura:
Cospa & Agilmic, S.L.U. Documento de Seguridad
22
Dentro de esa nueva carpeta “EnviosSAE” encontrará 2 o 4 archivos en función
de si se han elegido o no enviar los datos de Constantes.
Los ficheros que deberá mandar son los datos con extensión ZIP. La
nomenclatura de dichos archivos es:
Para datos del colegio: “Bk” + Código de centro (con su letra) + “.ZIP”
Para datos constantes: “BkConst.zip” (siempre el mismo nombre).
LIBERMARC
Las opciones de protección de datos personales existentes en LiberMarc,
posibilitan el cumplimiento de la LOPD en relación al nivel de datos que se gestiona en
esta aplicación. La ley sólo afecta a datos personales y en relación a LiberMarc
encontramos este tipo de información únicamente en lo referente a lectores. Es
importante tener en cuenta que para los datos existentes y según los criterios de la
LOPD, se consideran de nivel BÁSICO.
Para su protección, en LiberMarc existen las siguientes posibilidades:
Cospa & Agilmic, S.L.U. Documento de Seguridad
23
Entrada al programa protegida por usuario y contraseña.
Posibilidad de que el usuario modifique su contraseña.
Control de acceso con restricciones:
Se puede establecer una longitud mínima de la contraseña.
Se puede configurar una caducidad (obligando a usuario a cambiarla
periódicamente).
Controlar el acceso mediante un número máximo de intentos, tras los cuales se
cerraría la aplicación).
Para la versión Access:
Se protegería los accesos a los datos de lectores desde aplicaciones diferentes
a LiberMarc (accesos directos a la base de datos).
Enviar datos al CTE de Cospa&Agilmic S.L.U. enmascarando los datos de
lectores.
Con respecto a las opciones de protección de datos, existen 2 perfiles a tener
en cuenta, el administrador y el resto de los usuarios. Según el perfil de acceso del
usuario, tendrá disponibles diferentes opciones.
SOPHIA
Las opciones de protección de datos personales existentes en SOPHIA,
posibilitan el cumplimiento de la LOPD en relación al nivel de datos que se gestiona en
esta aplicación. La ley sólo afecta a datos personales y en relación a SOPHIA
encontramos este tipo de información únicamente en lo referente a lectores. Es
importante tener en cuenta que para los datos existentes y según los criterios de la
LOPD, se consideran de nivel BÁSICO.
Para su protección, en SOPHIA existen las siguientes posibilidades:
Entrada al programa protegida por usuario y contraseña.
Posibilidad de que el usuario modifique su contraseña.
Cospa & Agilmic, S.L.U. Documento de Seguridad
24
Control de acceso con restricciones:
Se puede establecer una longitud mínima de la contraseña.
Se puede configurar una caducidad.
Se puede Controlar el acceso mediante un número máximo de intentos.
Con respecto a las opciones de protección de datos, existen 2 perfiles a tener
en cuenta, el administrador y el resto de los usuarios. Según el perfil de acceso del
usuario, tendrá disponibles diferentes opciones.
En base a las recomendaciones del informe del Auditor de Protección de
Datos, existe en Cospa&Agilmic, un tratamiento de las bases de datos de SophiA,
mediante el cual, los datos personales que pudiera contener son enmascarados para
no ser reconocibles, ni utilizables de ningún modo, como tales datos personales, pero
manteniendo la estructura y registros de la BBDD.
Pudiendo así y tan solo en el caso de que fuera necesario, enviar la base de
datos con dichos datos enmascarados, de modo que los desarrolladores de la
aplicación SophiA, puedan realizar los trabajos de verificación y diagnóstico ante
posibles problemas que pudieran sugir, en lo relativo al funcionamiento del programa.
De este modo, se asegura que no exista acceso a datos personales.
Sin perjuicio de lo indicado hasta ahora, en el caso que la Compañía tenga que
acceder a datos personales responsabilidad de sus clientes, se compromete a adaptar
las siguientes medidas de seguridad:
a) Mantenimiento de los programas licenciados5.
La Compañía comercializa diferentes programas informáticos bajo licencias de
uso, de forma que dichos programas son instalados de forma local en las oficinas de
los clientes. Conjuntamente con esta licencia de uso, los clientes que así lo deseen,
pueden contratar servicios de mantenimiento evolutivo y/o correctivo de los mismos.
En función de esta prestación de servicios, la Compañía puede llegar a acceder a los
datos archivados en dichos programas de los cuales, serán responsables los
correspondientes clientes. El acceso a dichos datos por parte de la Compañía se
5 Programas SIGMA, AMIC, LIBERMARC, ASESOR , ALEXIA Y SOPHIA.
Cospa & Agilmic, S.L.U. Documento de Seguridad
25
realiza a través de correo electrónico, correo postal o mensajería, de forma presencial
en las oficinas del cliente, por protocolo ftp, por acceso remoto y por fax. Es necesario
señalar que la Compañía accede a estos datos como un mero encargado del
tratamiento ya que trata los “datos por cuenta del Responsable del fichero” siendo el
cliente el que decide “sobre la finalidad, contenido y uso del tratamiento”; es por todo
ello que:
� Tipos de datos tratados:
o Programa SIGMA:
� Nombre y apellidos de alumnos, profesores y padres.
� Calificaciones.
� Datos médicos (ocasionalmente).
o Programa ALEXIA:
� Nombre y apellidos de alumnos, profesores y padres.
� Calificaciones.
o Programa AMIC:
� Nombre y apellidos de alumnos, profesores y padres.
� Calificaciones.
o Programa LIBERMARC:
� Datos identificativos usuarios de bibliotecas.
o Programa SOPHIA:
� Datos identificativos usuarios de bibliotecas.
o Programa ASESOR:
� Datos fiscales de clientes y proveedores.
� Medidas de seguridad aplicables:
o Programa SIGMA: En el caso que como consecuencia de la prestación del
servicio de mantenimiento, la Compañía, tenga acceso a datos médicos (de
salud) de los alumnos, éste deberá adoptar las medidas de nivel alto, que
se definen en el presente Documento de Seguridad que coinciden con las
establecidas en el Reglamento de Seguridad, concretamente aquellas
detalladas en los artículos del 89 al 104. Si por el contrario, únicamente se
Cospa & Agilmic, S.L.U. Documento de Seguridad
26
accede a datos identificativos y relativos a calificaciones de los alumnos,
deberá adoptar medidas de nivel básico.
o Programa ALEXIA: Nivel alto.
o Programa AMIC: Nivel básico.
o Programa LIBERMARC: Nivel básico.
o Programa SOPHIA: Nivel básico.
o Programa ASESOR: Nivel básico.
b) Acceso a programas en la nube.
La Compañía comercializa, así mismo, programas informáticos que a su vez,
están alojados en servidores titularidad de Acens Technologies, SA, proveedora del
servicio en la nube; de modo que los datos que allí se alojan, no quedan archivados en
las oficinas y equipos del cliente, sino en un servidor web (propiedad del proveedor del
servicio), y el cliente únicamente contrata el acceso a dicho servidor, junto con el
derecho a usar el programa comercializado por la Compañía. Es por todo ello, que la
Compañía puede acceder a los datos que se alojan en dicho servidor, ya que
mantiene el control total sobre el mismo, convirtiéndose, en éste caso, en encargado
del tratamiento.
� Tipos de datos tratados:
o Programa ViaEducativa (en extinción):
� Nombre y apellidos de alumnos, profesores y padres.
� Calificaciones.
o Programa AMIWEB (en extinción):
� Nombre y apellidos de alumnos, profesores y padres.
� Calificaciones.
o Programa SophiA (sustituyendo progresivamente a VíaCultural):
� Datos identificativos usuarios de bibliotecas.
o Programa ALEXIA
� Nombre y apellidos de alumnos, profesores y padres.
� Calificaciones.
Cospa & Agilmic, S.L.U. Documento de Seguridad
27
� Medidas de seguridad aplicables en ambos casos: en el alojamiento y
tratamiento de estos datos, la Compañía, deberá adoptar medidas de
seguridad de nivel básico establecidas en el Reglamento de Seguridad,
concretamente aquellas detalladas en los artículos del 89 al 94.
� Los programas comercializados en la modalidad servidor, están alojados en un
servidor dedicado ubicado en las instalaciones de Acens Technologies, S.A.,
que también resulta afectado por lo indicado en el presente Documento de
Seguridad, debiendo aplicar, en cualquier caso, las medidas de seguridad que
correspondan a cada programa comercializado en esta modalidad.
c) Departamento de producción.
En este departamento de la Compañía, ésta presta servicios a sus clientes
(principalmente escuelas) encaminados a facilitar dos tipos de actividades: la
introducción de las calificaciones de sus alumnos y la introducción de datos relativos a
los distintos tests de capacidad y similares realizados por los centros a los mismos
alumnos. En ambos casos resulta evidente el tratamiento de datos que están ubicados
en ficheros de los que los clientes de la Compañía son responsables, veamos las
particularidades de cada uno de ambos casos:
c.1. Introducción de evaluaciones de alumnos.
� Tipos de datos:
o Nombre y apellidos del alumno.
o Calificaciones del alumno.
o Dirección postal del alumno.
o Nombre y apellido del padre y madre del alumno.
o Profesión del padre y madre del alumno.
� Medidas de seguridad aplicables: en virtud de lo señalado en la normativa en
vigor, el tratamiento de estos datos por parte de la Compañía deberá cumplir
Cospa & Agilmic, S.L.U. Documento de Seguridad
28
con las medidas de seguridad de nivel básico establecidas en el Reglamento
de Seguridad, concretamente aquellas detalladas en los artículos del 89 al 94.
c.2. Introducción de tests.
� Tipos de datos: o Nombre y apellidos del alumno. o Respuestas introducidas en los distintos tests de capacidad y personalidad. o Resultados de los tests.
� Medidas de seguridad: considerando que el tipo de datos que se tratan en este
supuesto, pueden llegar obtener una evaluación de la personalidad de los
alumnos, se considera necesario que se apliquen las medidas de seguridad
establecidas en los artículos 89 a 100 del Reglamento de Seguridad (nivel de
seguridad medio).
d) Servicios fiscales y contables:
La Compañía dispone de un departamento en el que se prestan servicios
fiscales y contables a los clientes. La prestación de este servicio puede implicar que la
Compañía pueda tratar datos ubicados en los Ficheros de Clientes y Proveedores
titularidad de sus clientes, supuesto que encaja en lo que establece el artículo 12 de la
LOPD.
� Tipos de datos:
o Datos fiscales.
o Nombres y apellidos de clientes y proveedores de los clientes de la
Compañía.
� Medidas de seguridad: en virtud de lo señalado en la normativa en vigor, el
tratamiento de estos datos por parte de la Compañía deberá cumplir, con las
medidas de seguridad de nivel básico establecidas en el Reglamento de
Seguridad, concretamente aquellas detalladas en los artículos del 89 al 94.
Cospa & Agilmic, S.L.U. Documento de Seguridad
29
2.3.3. Medidas de seguridad como desarrollador de programas
Además de las medidas de seguridad que la Compañía deberá adoptar como
responsable de ficheros (ver apartado 2.3.1.) o como encargado del tratamiento (ver
apartado 2.3.2) según proceda; ésta tiene, entre sus actividades principales, el
desarrollo de aplicaciones informáticas que almacenan datos personales. Es necesario
pues, que dichas aplicaciones, en función del tipo de datos que alojen, cumplan con
las medidas de seguridad previstas en el presente Documento de Seguridad, en
concreto aquellas que se establecen a nivel del propio programa y que se verán en el
apartado 4. A continuación se recogen los programas desarrollados por la Compañía,
estableciendo el nivel de seguridad aplicable:
Nombre del programa Tipo de datos Nivel de Seguridad6
SIGMA Identificativos Básico
SIGMA (módulo datos médicos)
Salud Alto
ALEXIA Identificativos,
calificaciones y salud Alto
AMIC Identificativos Básico
ORION Personalidad Medio
LIBERMARC Identificativos Básico
SOPHIA Identificativos Básico
ASESOR Identificativos Básico
VIA EDUCATIVA Identificativos Básico
AMIWEB Identificativos Básico
VIA CULTURAL Identificativos Básico
6 Ver apartado 4 del Documento de Seguridad.
Cospa & Agilmic, S.L.U. Documento de Seguridad
30
2.4. Sistemas de información de la Compañía
Los sistemas de información de la Compañía que tratan datos de carácter
personal, están integrados por los programas, soportes y equipos donde se archivan
los datos. En cualquier caso el acceso de las personas a los locales donde están los
sistemas de información de la Compañía, está debidamente controlado a través de
llave y sólo puede acceder el personal debidamente autorizado.
2.4.1. Programas
Los programas o aplicaciones que la Compañía utiliza para tratar los datos de
carácter personal se detallan en el Anexo III en este Documento de Seguridad.
2.4.2. Soportes
Los soportes que la Compañía utiliza para tratar los datos de carácter personal,
son los relacionados en el Anexo IV en este Documento de Seguridad. La Compañía
garantiza que los soportes están debidamente identificados e inventariados y que
están depositados en una ubicación donde sólo tiene acceso el personal de la
Compañía con autorización para tratar datos personales.
Cualquier salida de los soportes con datos personales (incluyendo los
comprendidos y/o anejos a los correos electrónicos) del lugar donde éstos están
normalmente depositados, requerirá una autorización expresa del Responsable de los
Ficheros. Además se establece el registro de entradas y salidas de los ficheros
establecidos en el Anexo IV de este Documento de Seguridad. En el caso de salida de
los soportes, se tomarán las medidas necesarias para impedir cualquier recuperación
indebida de la información contenida en estos soportes.
En caso de que el Responsable de los Ficheros tenga que desechar, por falta
de uso, o reutilizar un soporte, este procedimiento se llevará a cabo de forma que sea
imposible la recuperación total o parcial de los datos contenidos en aquel fichero. En
caso de que el soporte deba ser tirado, el Responsable de Seguridad tomará todas las
medidas para asegurar su efectiva destrucción física.
En el supuesto de que se lleve a cabo una distribución de los soportes por
motivos de seguridad, se tomarán las medidas necesarias para que durante el
transporte de los datos, éstos sean ininteligibles con el objetivo que no puedan ser
Cospa & Agilmic, S.L.U. Documento de Seguridad
31
manipulados. Con la finalidad de conseguir este resultado, el Responsable de los
Ficheros, cifrará los datos cuando lleve a cabo este tipo de operaciones.
2.4.3. Estructura de la red y equipos
Los equipos que la Compañía utiliza para tratar los datos de carácter personal,
son los relacionados en el Anexo V en este Documento de Seguridad. Este anexo
adjunta esquema de la red informática de la Compañía.
2.4.4. Ficheros no automatizados de la Compañía
La Compañía declara y garantiza que los ficheros no automatizados con datos
personales (en soporte papel), de que dispone están debidamente almacenados y que
controla el acceso del personal interno y de las personas externas, a estos ficheros.
En cualquier caso la Compañía se compromete a adoptar las medidas de seguridad
para ficheros y tratamientos no automatizados, definidos en el Reglamento de
Seguridad (artículos 105 a 114).
En el caso de que los ficheros en soporte papel dejen de ser útiles para las
finalidades por las cuales los datos fueron recogidos, la Compañía garantiza la
completa destrucción física del mencionados ficheros.
La Compañía garantiza a las personas afectadas por los datos que se
encuentran en estos tipos de ficheros, los derechos que la LOPD les reconoce:
acceso, rectificación, cancelación y oposición. Así mismo la Compañía conoce que las
medidas de seguridad técnicas y organizativas establecidas en este Documento de
Seguridad, para datos automatizados, también son aplicables a los no automatizados,
concretamente en lo que respecta a: funciones y obligaciones del personal, registro de
incidencias, control de acceso y gestión de soportes.
Cospa & Agilmic, S.L.U. Documento de Seguridad
32
3. FUNCIONES Y OBLIGACIONES DEL PERSONAL CON ACCESO A LOS FICHEROS
3.1. Responsable de los Ficheros
La Compañía, como Responsable de los Ficheros, declara que ha informado
debidamente al personal con acceso a los ficheros afectados por este Documento de
Seguridad, de las obligaciones que tienen en el ejercicio de sus funciones y de las
consecuencias que puede tener para ellos el incumplimiento de estas obligaciones.
Además como Responsable de los Ficheros la Compañía, está obligada a:
a) Autorizar el tratamiento de datos fuera de sus oficinas.
b) Elaborar e implementar la normativa de seguridad establecida en este
Documento de Seguridad.
c) Autorizar la salida de soportes con datos de carácter personal fuera de sus
oficinas.
d) Adoptar las medidas correctoras propuestas por el Responsable de
Seguridad una vez conocido el Informe de auditoría obligatorio.
e) Mantener actualizada la relación de usuarios con acceso a los ficheros con
datos personales.
f) Establecer un sistema que permita de forma inequívoca y personalizada la
identificación de cualquier usuario que intente acceder a los ficheros con
datos personales.
g) Limitar la posibilidad de intentar reiteradamente accesos no autorizados.
h) Establecer mecanismos para evitar que los usuarios puedan acceder a
ficheros con funciones o derechos que no tengan previamente atribuidos.
i) Autorizar, cuando sea necesario la transmisión de datos mediante sistemas
de comunicación.
j) Establecer los mecanismos de encriptación de datos.
Cospa & Agilmic, S.L.U. Documento de Seguridad
33
3.2. Responsable de Seguridad
El Responsable de Seguridad designado por el Responsable de los Ficheros,
tendrá las siguientes funciones:
a) Coordinar y controlar las medidas de seguridad.
b) Comprobar los sistemas que realizan las copias de seguridad y de
recuperación de datos y nombrar a la persona encargada de llevarlas a
cabo.
c) Analizar los Informes de auditoría y presentar las conclusiones al
Responsable de los Ficheros.
d) Analizar periódicamente la información registrada y elaborar un informe
sobre las revisiones y problemas detectados.
e) Comprobar que se aplican los mecanismos de identificación y
autenticación.
f) Comprobar que los usuarios únicamente acceden a los datos que necesitan
para ejercer sus funciones.
g) Dar de alta y entregar la contraseña a los nuevos usuarios.
h) Mantener actualizado el Documento de Seguridad.
i) Determinar la pertinencia o no de los sistemas de comunicación propuestos
por la transmisión de datos personales.
j) Controlar los sistemas de encriptación de datos.
k) Establecer las medidas de seguridad necesarias para evitar accesos
remotos no autorizados.
Cospa & Agilmic, S.L.U. Documento de Seguridad
34
3.3. Personal de la Compañía
El personal con acceso a los ficheros con datos de carácter personal se
compromete a guardar confidencialidad sobre los datos que conozcan en ejercicio de
sus funciones. Asimismo únicamente accederán a los datos por motivos o finalidades
que se desprendan de sus funciones y obligaciones laborales. En cualquier caso, la
Compañía y el personal con acceso a los datos firmarán un documento donde
establezcan las condiciones y las finalidades de acceso a los ficheros. El Anexo VI al
presente Documento de Seguridad recoge a un modelo de declaración a firmar para
los empleados de la Compañía.
Con el fin de acceder a los ficheros el personal dispone de una contraseña que
es personal e intransferible. En todo caso tendrá que mantener la mencionada
contraseña bajo su exclusivo control y en caso de que sospechara que un tercero no
autorizado ha tenido acceso a la misma así lo debería comunicar al Responsable de
Seguridad o al Responsable de los Ficheros. En ningún caso el personal utilizará la
contraseña para acceder a los ficheros fuera de las oficinas de la Compañía, sin el
consentimiento del Responsable de Seguridad.
En cualquier caso el personal con acceso a datos, evitará la creación de
ficheros con datos personales distintos a los enumerados en el presente Documento
de Seguridad, sin la previa comunicación y autorización preceptiva al Responsable de
Seguridad. Bajo ninguna circunstancia el personal creará ficheros sin seguir dichas
normas y, en ningún caso, los almacenará en su disco duro; siendo necesario que
éstos, en caso de ser creados, sean ubicados en alguna de las Carpetas de Red,
donde el Responsable de Seguridad pueda limitar y controlar los accesos a dicho
fichero. En todo caso, debe considerarse que la extracción esporádica de datos de
cualquiera de los ficheros tratados por la Compañía, no se considerará la creación de
un nuevo fichero, sino como un fichero temporal, circunstancia tratada en el presente
Documento de Seguridad7.
En el caso de centros de trabajo enumerados en el apartado 2.1. que no se
incluyan en el procedimiento de copias de respaldo detallado en el apartado 4.5.8, por
ser obligación de cada usuario la realización de dicha copia; la Compañía declara que
7 Ver apartado 4.3..
8 Bilbao, Sevilla, Valencia, Valladolid y Zaragoza.
Cospa & Agilmic, S.L.U. Documento de Seguridad
35
ha informado a dichos usuarios de la mencionada obligación, que deberá asistirles en
lo que precisen a estos efectos y que controla la realización periódica de las
mencionadas copias de respaldo.
Por último es obligación de cada usuario borrar periódicamente los datos
incluidos en las carpetas a las que tenga acceso, cuando éstos hayan dejado de servir
a la finalidad por el que los ficheros donde se ubican dichos datos, fueron creados.
El Anexo VII al presente Documento de Seguridad incluye una relación
completa y actualizada del personal de la Compañía con acceso a los ficheros con
datos de carácter personal. Este listado tendrá que incluir, además de los datos
identificativos de las personas con acceso a los datos, el nivel de acceso a los ficheros
de que cada uno de ellos dispone (por ejemplo: consulta, modificación, cancelación,
etc.).
Formación: todos los trabajadores de la Compañía reciben de forma periódica
sesiones formativas relacionadas con la implementación práctica de la normativa de
protección de datos. Concretamente se han celebrado las siguientes sesiones de
formación:
- Madrid: 27/05/2010.
- Barcelona: 03/06/2010.
- Madrid y Barcelona (por video conferencia): 10/07/2012.
Cospa & Agilmic, S.L.U. Documento de Seguridad
36
4. MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS Y ESTANDARS DE SEGURIDAD
En el ejercicio de sus actividades, la Compañía trata por cuenta de sus clientes
datos de carácter personal, cuya titularidad es de éstos, además de los datos
ubicados en los ficheros de los que es titular. Atendiendo al nivel de seguridad que
exigen los datos entregados por los clientes, la Compañía aplicará e implementará las
medidas de seguridad que se establecen a continuación. Las medidas de seguridad
que a continuación se indican se aplican, pues, tanto a los ficheros titularidad de la
Compañía, como en aquéllos que ésta trata por cuenta de sus clientes. En concreto
las medidas de seguridad de nivel medio y alto, únicamente se aplicarán a los datos
tratados por la Compañía por cuenta de sus clientes, ya que los datos de los cuales es
responsable, únicamente exigen medidas de seguridad de nivel básico. Más
concretamente, éstas medidas de seguridad se aplicarán, exclusivamente a:
� Medidas de seguridad de nivel alto: Programa SIGMA (módulo de datos
médicos).
� Medidas de seguridad de nivel alto: Programa ALEXIA.
� Medidas de seguridad de nivel medio: Programa ORION.
Ambos programas, al ser comercializados por la Compañía, deberán prever
que las medidas de seguridad que en cada caso se han establecido para cada uno de
ellos, así como incorporar, en el manual de usuario, una descripción técnica del nivel
de seguridad exigido a los datos que trata. Adicionalmente y considerando que la
Compañía puede tratar estos datos como encargado del tratamiento, también deberá
prever las medidas del nivel determinado para cada caso, en relación al tratamiento
propio de los datos, más allá que el programa cumpla con las medidas exigibles.
Cospa & Agilmic, S.L.U. Documento de Seguridad
37
Medidas de seguridad comunes a todos los ficheros:
4.1 Acceso a los datos a través de redes de telecomunicaciones
Los accesos a datos a través de redes de comunicaciones tendrán que
garantizar un nivel de seguridad equivalente al correspondiente a los accesos
realizados de forma local.
4.2 Régimen de trabajo fuera de los locales de la ubicación de los ficheros
La ejecución de tratamientos de datos de carácter personal fuera de los locales
de la ubicación de los ficheros tendrá que ser autorizado expresamente por el
Responsable de los Ficheros y, en cualquier caso, habrá que garantizarse el nivel de
seguridad correspondiente al tipo de fichero tratado.
4.3 Ficheros temporales
Los ficheros temporales tendrán que cumplir el nivel de seguridad que les
corresponda. Cualquier fichero temporal será borrado una vez que haya dejado de ser
necesario para las finalidades que motivaron su creación. De forma periódica se
procederá a revisar los servidores con la finalidad de asegurar la adecuada
destrucción de los ficheros temporales en desuso.
Cospa & Agilmic, S.L.U. Documento de Seguridad
38
Medidas de seguridad para ficheros que exigen un nivel de seguridad básico:
Los ficheros que trata automatizadamente la Compañía y que, según la
legislación en vigor, exigen un nivel de seguridad básico9, aplicarán las siguientes
medidas de seguridad:
4.4 Identificación10 y autenticación11
El sistema escogido por la Compañía para controlar el acceso a los ficheros
con datos personales es a través de contraseñas12 o passwords.
El encargado de crear y distribuir las contraseñas, será el Responsable de
Seguridad o el Administrador de la Red.
Durante la vigencia de una serie de contraseñas, la Compañía las almacenará
de forma que sean ininteligibles, garantizando así la seguridad de los accesos a los
ficheros con datos personales.
Las personas que para desarrollar sus funciones, dispongan de contraseñas
para acceder a los ficheros con datos personales, tienen la obligación de custodiarlas
y de no usarlas fuera de sus funciones profesionales.
Las políticas de gestión de contraseñas son las siguientes:
a) Vigencia máxima de la contraseña: 90 días
b) Vigencia mínima de la contraseña: 75 días
c) Longitud mínima de la contraseña: 8 caracteres
d) Características de complejidad avanzada: habilitada
e) Historial de contraseñas recordadas: 2
9 Ver apartado 2.3 del presente Documento de Seguridad.
10 Procedimiento de reconocimiento de la identidad de los usuarios con permiso de acceso a los ficheros con
datos personales.
11 Procedimiento de comprobación de la identidad de los usuarios.
12 Información confidencial, frecuentemente constituida por una cadena de caracteres, que puede ser
utilizada por la autenticación de los usuarios.
Cospa & Agilmic, S.L.U. Documento de Seguridad
39
Adicionalmente la Compañía dispone, para los ficheros que exigen niveles de
seguridad medio y alto, de un sistema para identificar y autenticar de forma inequívoca
a las personas con acceso a los ficheros con datos personales, de forma que sólo
puedan acceder las personas que hayan sido previamente autorizadas a estos
efectos. Asimismo la Compañía dispone de sistemas para limitar los intentos
reiterados de entradas no autorizadas a los ficheros con datos de carácter personal.
Bloqueo de cuentas
La Compañía dispone de un sistema para limitar a 3 intentos la posibilidad de realizar accesos no autorizados al sistema.
4.5 Copias de seguridad y recuperación de los datos
A continuación, se indica el sistema de realización de las copias de seguridad,
en función de los distintos centros de trabajo de la Compañía, que en todo caso
revisará cada seis meses, el correcto funcionamiento del sistema que a continuación
se establece.
Los “Tipos de copia de seguridad” utilizados son los siguientes:
• Normal: Realiza copias de seguridad de todos los archivos seleccionados,
independientemente de la configuración del atributo de archivo, y borra el
atributo de archivo de todos los archivos de los que se realizan copias de
seguridad. Si el archivo se modifica más adelante, se establecerá el atributo del
archivo y se indicará que es necesario volver a hacer una copia de seguridad
del mismo.
• Incremental: Está diseñado para crear copias de seguridad de archivos que
han sufrido modificaciones desde la copia de seguridad normal o incremental
más reciente. La presencia del atributo de archivo indica que el archivo se ha
modificado y que únicamente se ha realizado copia de seguridad de los
archivos con este atributo. Cuando se realiza la copia de seguridad de un
archivo, se borra su atributo.
Cospa & Agilmic, S.L.U. Documento de Seguridad
40
Las copias de seguridad incrementales utilizan la mínima cantidad de medios y
también ahorran tiempo, ya que no copian todos los archivos que han sufrido
modificaciones desde la última copia de seguridad completa. Sin embargo, no se
recomienda restaurar un disco, ya que debería cambiar los medios cada día de la
semana.
Por ejemplo: Nosotros realizamos “una copia de seguridad Normal el Sábado
y el Domingo y copias de seguridad Incrementales de Lunes a Viernes”. Si el disco
falla un sábado, tendríamos que restaurar el disco duro con la copia de seguridad del
sábado y, después, completar el proceso de restauración con las copias de seguridad
del lunes al viernes en el orden en que se grabaron.
El “Soporte en el que se almacenan las copias de seguridad realizadas es
un Disco Duro del Servidor”.
a) Oficina de Madrid.
Soportes: 3 Hd de 80 Gb extraíbles.
Procedimiento: Se utiliza un programa de copia, que realiza una copia en local
de los archivos del servidor (incluye los archivos abiertos por usuarios). Una vez
copiados localmente los archivos. Este proceso se realiza semanalmente.
El disco duro se entrega a D. Manuel López que lo guarda en una caja ignifuga
y entrega la copia más antigua.
c) Oficina de Barcelona.
Soportes: Un servidor y dos Hd de 120 Gb extraíbles
Procedimiento: Se utiliza un sistema bat, realiza una copia en local de los
archivos de los distintos servidores. (Incluye los archivos abiertos por usuarios). Una
vez copiados localmente los archivos (incluye el path completo del origen), se
procesan y se genera un archivo zip por cada una de las zonas copiadas.
(Documentación, Código Fuente de aplicaciones, Datos del programa de gestión
(antiguo), etc...). Este proceso se realiza diariamente, y cada viernes se copia el último
archivo generado al disco duro extraíble y se lleva a una caja fuerte. (Xavi V). A la
Cospa & Agilmic, S.L.U. Documento de Seguridad
41
semana siguiente se utiliza el segundo HD y se realiza el mismo procedimiento,
quedando siempre el último Hd utilizado en la caja fuerte.
c) Almacén.
Soporte: CD.
Procedimiento: Diariamente se hace una copia de la base de datos en el
servidor, separada por días. Mensualmente se hace una copia en cd y se entrega a D.
Manuel López, que lo guarda en una caja ignífuga.
d) Servidor Acens Technologies, S.A.
Soportes: 2 Hd de 300 Gb en un servidor
Procedimiento: Se utiliza el programa de copia Veritas, que realiza una copia
en local de los archivos de los servidores (incluye los archivos abiertos por usuarios).
La copia es diaria, conservando solo 4 días. El acceso al servicio de copias de backup
y a las copias solo lo tienen los administradores de la red.
f) Delegaciones
Cada operario se encarga de hacer su propia copia de seguridad.
4.6 Limitación en el uso de datos reales
Las pruebas anteriores a la puesta en marcha o a la introducción de cambios
en los sistemas de información que traten datos de carácter personal, no se realizarán
con datos reales, hasta que estos sistemas dispongan de las medidas de seguridad
adecuadas. En todo caso y como paso previo a las eventuales pruebas, se realizará
una copia de seguridad de la información que pueda verse en riesgo y se dejará
constancia documental de la realización y resultado de las citadas pruebas.
Cospa & Agilmic, S.L.U. Documento de Seguridad
42
Medidas de seguridad para ficheros que exigen un nivel de seguridad alto13:
Los ficheros que trata la Compañía que, según la legislación en vigor, exigen
un nivel de seguridad alto aplicarán, además de las dos medidas anteriormente
indicadas, las siguientes:
4.7 Registro de accesos
La Compañía establece el sistema de registro de accesos a los ficheros con
datos de carácter personal, que retendrá, como mínimo los datos recogidos en el
Anexo VIII del presente Documento de Seguridad.
El Responsable de Seguridad es la persona encargada de controlar este
sistema de registro de accesos; tendrá la obligación de revisarlo periódicamente y de
elaborar un informe mensual donde analice las revisiones llevadas a cabo e informe de
los problemas detectados, en caso de que hayan aparecido.
El sistema de Registro de accesos deberá tener, al menos, las siguientes
características:
a) Imposibilidad de ser desactivado.
b) En caso de que autorice una entrada a los ficheros, será preciso que
permita identificar el registro accedido.
4.8 Auditorías periódicas14
La Compañía realizará cada dos años o siempre que se realicen
modificaciones sustanciales de los sistemas de información, una auditoría de los
sistemas de información que albergan datos de carácter personal que exigen un nivel
de seguridad alto, con el objetivo de analizar su adecuación con las medidas de
seguridad establecidas en este Documento de Seguridad. La auditoría podrá ser
realizada por un órgano interno de la empresa o por una empresa externa, en
13 Ver apartado 2.3. del presente Documento de Seguridad. Medida de seguridad también aplicable a los
datos que exigen un nivel medio de seguridad.
14 Esta medida de seguridad es también exigible para los ficheros que exigen nivel de seguridad medio.
Cospa & Agilmic, S.L.U. Documento de Seguridad
43
cualquier caso deberá garantizarse la profesionalidad y la independencia de este
órgano o empresa con respecto al titular de los ficheros.
El informe de auditoría tendrá, como mínimo el siguiente contenido:
a) Adecuación o no de las medidas de seguridad a este Documento de
Seguridad.
b) Identificar deficiencias de los sistemas de información de la Compañía.
c) Proponer medidas correctoras.
d) Documentación que ratifique el informe.
El informe será analizado por el Responsable de Seguridad que lo elevará al
Responsable de los Ficheros que, al mismo tiempo, tendrá que implementar las
medidas propuestas y depositar el citado informe en la Agencia de Española
Protección de Datos.
Los citados informes de auditorías se incluirán en el anexo XII.
4.9 Redes de telecomunicaciones
La transmisión de datos personales a través de redes de telecomunicaciones,
se realizará cifrando estos datos o mediante cualquier otro sistema que garantice la
integridad y la confidencialidad de la información transmitida.
Cospa & Agilmic, S.L.U. Documento de Seguridad
44
4.10 Resumen de medidas de seguridad
El siguiente cuadro recoge las distintas medidas de seguridad diferenciando en
función de si deben ser establecidas a nivel del propio programa (cualquiera de los
que usa o comercializa la Compañía) o en el uso que se hace posteriormente de los
mismos.
Medida de Seguridad Nivel del
Seguridad
Ámbito de actuación
Acceso a datos a través de redes de
telecomunicaciones (ver 4.1.)
Básico Tratamiento
Trabajo fuera oficinas (ver 4.2.) Básico Tratamiento
Ficheros temporales (ver 4.3.) Básico Tratamiento
Identificación y autenticación (ver 4.4.) Básico Programa
Identificación y autenticación reforzada (ver 4.4. in
fine)
Básico medio
Alto
Programa
Copias de Seguridad (ver 4.5.) Básico Tratamiento
Gestión de soportes (ver 2.4.2. in fine) Básico medio
Alto
Tratamiento
Registro de accesos (ver 4.6.) Alto Programa
Auditorías periódicas (ver 4.7.) Medio
Alto
Tratamiento
Limitación datos reales (ver 4.8.) Alto Tratamiento
Transmisión de datos a través de redes de
telecomunicaciones (ver 4.9.)
Alto Tratamiento/Programa
Cospa & Agilmic, S.L.U. Documento de Seguridad
45
5 INCIDENCIAS EN RELACIÓN A LOS FICHEROS
La Compañía mantendrá un registro actualizado de las incidencias que
sucedan en relación a los ficheros con datos personales. Esta medida de seguridad se
aplicará a todos los ficheros de la Compañía. También a los que trata como encargado
del tratamiento si mantiene copias de esos datos.
En caso de incidencias, para llevar a cabo los procedimientos de recuperación
de datos, será necesaria la autorización por escrito del Responsable de Seguridad. El
Anexo IX de este Documento de Seguridad recoge una hoja de incidencias que
deberá cumplimentarse en caso de que éstas se produzcan. En cualquier caso
además del mencionado registro, la Compañía procurará documentar las hipotéticas
incidencias de la forma más completa posible.
En cualquier caso el procedimiento de notificación, gestión y respuesta de
incidencias consta de las siguientes fases:
1. Detección de la incidencia.
El usuario tiene conocimiento o detecta cualquier anomalía que afecta a los
datos personales ubicados en los ficheros de los que la Compañía es responsable o
encargada del tratamiento.
2. Notificación de la incidencia.
El usuario deberá informar de la incidencia al Responsable de Seguridad o, en
su caso, al responsable de su departamento, utilizando, en todo caso la hoja de
incidencia recogida en el presente Documento de Seguridad.
3. Registro de la incidencia.
Una vez recibida la incidencia por el Responsable de Seguridad, éste la
introducirá en una base de datos en una carpeta de red con accesos limitados, de
forma que se facilite su clasificación, la administración de las ya resueltas, a efectos de
ayudar el diagnóstico y posterior resolución de la que estuviera en curso.
4. Análisis y diagnóstico.
Definición y ejecución de la acción correctora por parte del Responsable de
Seguridad.
Cospa & Agilmic, S.L.U. Documento de Seguridad
46
5. Documentación y cierre de la acción correctora.
Solucionada la incidencia, la forma de resolución deberá quedar registrada en
la base de datos creada al efecto. Posteriormente se informará de la resolución de la
incidencia a quien la detectó así como a cualquier otra persona de la Compañía que
pudiera haber estado involucrada en la misma.
6. Clasificación de la incidencia.
Todas las incidencias resueltas, serán clasificadas a efectos de una mejor
resolución de las próximas.
A continuación se incluye un listado de las incidencias más habituales, que no
significa que sean las únicas:
a) La caída del sistema de seguridad informática, por cualquier causa, que
posibilite el acceso a los datos personales por personas no autorizadas.
b) El intento no autorizado de salida de un soporte (por ejemplo soporte con la
copia de seguridad).
c) La destrucción total o parcial del soporte físico donde se encuentren los
datos personales.
d) El cambio de ubicación física de los ficheros responsabilidad de la
Compañía.
e) Los intentos de acceso no autorizados o denegados a los ficheros
responsabilidad de la Compañía.
f) Conocimiento por terceros del identificador de usuario o clave de acceso al
sistema.
g) Modificación de datos por personal no autorizado o desconocido.
h) Pérdida de información.
i) Existencia de sistemas de información sin las debidas medidas de
seguridad.
Cospa & Agilmic, S.L.U. Documento de Seguridad
47
6 TRATAMIENTO DE DATOS POR CUENTA DE TERCEROS
Como se ha indicado en el apartado dedicado a las medidas de seguridad, en
el ejercicio de sus actividades profesionales la Compañía trata por cuenta de sus
clientes datos de carácter personal titularidad de éstos. Teniendo en cuenta estas
consideraciones debemos señalar dos aspectos relevantes:
a) El obligado de inscribir los ficheros donde se ubican estos datos ante el
Registro General de la Agencia Española de Protección de Datos son en
todo caso, los clientes de la Compañía. Ésta tendrá la consideración de
encargada del tratamiento según lo que se desprende de la normativa en
vigor en materia de protección de datos de carácter personal.
b) La Compañía ha hecho firmar a todos a los clientes que le han encargado
el tratamiento de sus datos, el contrato previsto en el artículo 12 de la
LOPD, donde ha establecido las finalidades y los límites de este
tratamiento, en función de la prestación de servicio de que se trate.
Asimismo, y en cumplimiento con lo establecido en el artículo 82.2 del RLOPD,
la Compañía hace constar que la lista de sus Clientes, Responsables de Ficheros, a
los que la Compañía presta un servicio en calidad de Encargada del Tratamiento, se
encuentra actualizada y referenciada en el Programa Logic Class, utilizado para la
gestión del fichero maestro de Clientes de la Compañía, como se referencia en el
punto 2.3.1 de este Documento de Seguridad.
Cospa & Agilmic, S.L.U. Documento de Seguridad
48
ANEXOS AL DOCUMENTO DE SEGURIDAD
COSPA-AGILMIC, S.L.U.
Cospa & Agilmic, S.L.U. Documento de Seguridad
49
ANEXOS
I. IMPRESIONES PANTALLAS DE PROGRAMAS UTILIZADOS POR LA COMPAÑÍA.
II. ENCARGADOS DEL TRATAMIENTO.
III. PROGRAMAS DE TRATAMIENTO DE LOS DATOS.
IV. SOPORTES DE TRATAMIENTO DE LOS DATOS.
V. EQUIPOS DE TRATAMIENTO DE LOS DATOS Y ESTRUCTURA DE LA RED DE LA COMPAÑÍA.
VI. DECLARACIÓN PERSONAL INTERNO DE LA COMPAÑÍA.
VII. PERSONAS CON ACCESO A LOS DATOS.
VIII. REGISTRO DE ACCESOS.
IX. REGISTRO DE INCIDENCIAS.
X. LISTA DE PERSONAL AUTORIZADO A ACCEDER A LOCALES CON SOPORTES Y SITEMAS INFORMÁTICOS.
XI. MARCO NORMATIVO COMUNICACIONES COMERCIALES ELECTRÓNICAS.
XII. INFORMES DE AUDITORÍAS.
XIII. CLOUD PRIVADO
XIV. MANUAL LOPD DE ALEXIA
Cospa & Agilmic, S.L.U. Documento de Seguridad
50
XV. TRANSFERENCIA INTERNACIONAL DE DATOS DEL PROGRAMA SophiA
XVI. PROTOCOLO DE ACTUACIÓN GRABACIONES TELEFÓNICAS
Cospa & Agilmic, S.L.U. Documento de Seguridad
51
ANEXO I
Se incluyen impresiones de pantallas (donde se incluyen datos personales) de programas utilizados por la Compañía
Programa ALEXIA
ALUMNOS
Datos generales del alumno
Cospa & Agilmic, S.L.U. Documento de Seguridad
52
Datos Dirección del alumno
Datos médicos del alumno
Cospa & Agilmic, S.L.U. Documento de Seguridad
53
En la pesataña de datos libres, también se podrán configurar datos que requieran un nivel de protección alto. Esta pantalla muestra la ficha para crear un dato libre.
Ejemplo de datos libre con nivel de protección alto.
Cospa & Agilmic, S.L.U. Documento de Seguridad
54
Datos de nacimiento y nacionalidad del alumno. FAMÍLIAS: padres - tutores
Datos generales de la familia.
Cospa & Agilmic, S.L.U. Documento de Seguridad
55
Datos generales del tutor.
Más datos de caràcter personal del tutor
Cospa & Agilmic, S.L.U. Documento de Seguridad
56
Datos de contacto del tutor TITULARES
Datos generales del titular
Cospa & Agilmic, S.L.U. Documento de Seguridad
57
Datos de contacto del titular TRABAJADORES
Datos generales del trabajador
Cospa & Agilmic, S.L.U. Documento de Seguridad
58
Datos de contacto del trabajador
Datos de naciomiento del trabajador
Cospa & Agilmic, S.L.U. Documento de Seguridad
59
Datos académicos del trabajador
Datos curso escolar del trabajador
Cospa & Agilmic, S.L.U. Documento de Seguridad
60
FACTURACIÓN
Cospa & Agilmic, S.L.U. Documento de Seguridad
61
PANTALLAS
DE
LOGIC CLASS
Cospa & Agilmic, S.L.U. Documento de Seguridad
62
Cospa & Agilmic, S.L.U. Documento de Seguridad
63
Cospa & Agilmic, S.L.U. Documento de Seguridad
64
Cospa & Agilmic, S.L.U. Documento de Seguridad
65
Cospa & Agilmic, S.L.U. Documento de Seguridad
66
Cospa & Agilmic, S.L.U. Documento de Seguridad
67
Cospa & Agilmic, S.L.U. Documento de Seguridad
68
Cospa & Agilmic, S.L.U. Documento de Seguridad
69
Cospa & Agilmic, S.L.U. Documento de Seguridad
70
Cospa & Agilmic, S.L.U. Documento de Seguridad
71
Cospa & Agilmic, S.L.U. Documento de Seguridad
72
Cospa & Agilmic, S.L.U. Documento de Seguridad
73
PANTALLAS
DE
INTERNO
Cospa & Agilmic, S.L.U. Documento de Seguridad
74
Cospa & Agilmic, S.L.U. Documento de Seguridad
75
ANEXO II
Prestadores de servicio con acceso a datos (Encargados de tratamiento)
Proveedor Ficheros a los que accede Servicio prestado Fecha firma contrato
Deconsa, S.L. Económicos y fiscales Asesoría contable 01-06-2006
Ad hoc Asesores Legales, S.L.
Personal Asesoría laboral 10-03-2010
Tomás Menéndez Guerra
Alumnos Grabación de datos 30-06-2006
Esfera Legal Advocats, S.L.P.
Clientes Servicios de protección de datos
01-04-2013
BGT Auditores, S.L. Económicos y fiscales Auditoría de cuentas 17-12-2007
Sol. Dig. Tecnológicas, S.L.
Clientes Acuerdo comercial 02-06-2010
Pymesoft Valles, S.L. Clientes Servicios consultoría 18-06-2008
Multicon Acens Technologies S.A. (confidencialidad)
Pers. – clis. – prov. Infraestructura tecnológica
18-04-2011
Servicio Multicon Acens Technologies S.A.
(Condiciones particulares)
Pers. – clis. – prov. Infraestructura tecnológica
18-04-2011
Destrucción Confidencial de Documentación S.A.
Econ.-clis.-prov.-pers. Destrucción de documentos
30-09-2009
Acens Technologies, S.A.
(Housing)
Alumnos Infraestructura tecnológica
01-04-2011
Cospa & Agilmic, S.L.U. Documento de Seguridad
76
Sage Logic Control Clientes Programa de gestión de clientes
10-04-2007
Acens Technologies, S.A.
(Cloud privado)
Alumnos Infraestructura tecnológica
01-04-2011
Evolución 21 Personal Formación 30-10-2010
Retesa Nuevas Tecnologías S.L.
Clientes Instalación y mantenimiento
27/11/2009
Logística Sanz Navarro S.L.
Clientes Logística 01-04-2008
TNT Proveedores-Clientes Logística 02-02-2006
Correos Proveedores-Clientes Logística 01-01-2009
Código Express Courier, S.L.
Proveedores-Clientes Logística 30-06-2008
Tic Educación, S.L: Clientes Colaboración comercial 14/06/2011
Opportunity Servicios Auxiliares
Clientes Logística 01/12/2009
Natura Activa. SCP Clientes, Proveedores, Trabajadores
Destrucción de documentación
01/06/2011
BCN Media Forum, S.L. Clientes Distribución de productos 09-03-2011
Talento y Tecnología Soluciones, S.L.
Clientes, Proveedores, Trabajadores
Desarrollo de software 27-09-2010
Dominion Tecnologías, S.L.U.
Clientes Colaboración comercial 16-06-2010
Development Systems, S.A.
Clientes Consultoría comercial 18-01-2010
Dataeraser, S.L. Clientes, Proveedores, Trabajadores
Destrucción de documentación
03-08-2011
Cospa & Agilmic, S.L.U. Documento de Seguridad
77
AnSiB Net Solutions, S.L.
Clientes y Trabajadores Consultora de voz y datos 10-06-2014
OTBINNOVA Creative Thinking, S.L.L.
Clientes Desarrollo y consultoría TIC
12-08-2011
Centro Europeo de Formación Ausiás
March
Trabajadores Formación 24-12-2010
Gesorta Experiencies of Management, S.L.
04-05-2012
EDUQATIA Investigación y
Certificación, SA
Clientes Asesoría Alexia 25-06-2012
The Rocket Science Group, LLC
Clientes, Proveedores, Trabajadores
Mail Chimp Puerto seguro EUA
OASIS TECHNOLOGICS, S.L.
Clientes Instalación y Mantenimiento
02-01-2014
Prestadores de servicios sin acceso a datos
Proveedor Servicio prestado Fecha firma contrato
Selimco Ibérica, S.A. Limpieza 01-05-2008
Cia. Gral. de Servicios de Garvi, SL
Limpieza 17-04-2007
Cospa & Agilmic, S.L.U. Documento de Seguridad
78
ANEXO III
Programas de tratamiento de los datos
La Compañía utiliza los siguientes programas para archivar y tratar datos de carácter personal:
Ficheros que la Compañía trata como responsable:
Programas Arquitectura Descripción
LOGIC CONTROL (CLASS)
Cliente -Servidor Aplicación ERP de Cospa & Agilmic.S.L.U. (Gestión de clientes, distribuidores, contable,
etc.)
Ficheros que la Compañía trata como encargado del tratamiento:
Programas Arquitectura Descripción
SIGMA Local Aplicación para la gestión integral de centros educativos (Documentación oficial, boletines, recibos, etc.)
AMIC Local Aplicación para la gestión integral de centros educativos (Documentación oficial, boletines, recibos, etc.)
ALEXIA Local Aplicación para la gestión integral de centros educativos (Documentación oficial, boletines, recibos, etc.)
ORION Local Aplicación que permite la corrección de tests e impresión de informes.
LIBERMARC Local Aplicación para la gestión de bibliotecas (préstamos, catalogación, pedidos, publicaciones periódicas, etc.)
ASESOR Local Aplicación de gestión contable.
VIA EDUCATIVA
Web Aplicación Web para la comunicación con los padres, alumnos y profesores. Proporciona herramientas para los profesores (poner notas, enviar observaciones, etc.)
Cospa & Agilmic, S.L.U. Documento de Seguridad
79
AMIWEB Web Aplicación Web para la comunicación con los padres, alumnos y profesores. Proporciona herramientas para los profesores (poner notas, enviar observaciones, etc.)
VIA CULTURAL
Web Aplicación Web que permite a las bibliotecas la publicación en Internet de su catálogo de libros.
SOPHIA Web Aplicación para la gestión de bibliotecas (préstamos, catalogación, pedidos, publicaciones periódicas, etc.)
Cospa & Agilmic, S.L.U. Documento de Seguridad
80
ANEXO IV
Soportes de tratamiento de los datos
Listado de soportes:
Tipo de Soporte Número de Identificación Contenido
3 HD 80 Gb extraíbles (Madrid)
CS 1/ CS 2/ CS 3 Copias de Seguridad
2 HD 120 Gb extraíbles (Barcelona)
CS 1/ CS 2 Copias de Seguridad
2 HD 300 Gb (Acens) CS 1/ CS 2 Copias de Seguridad
1 CD (Almacén) CS 1 Copias de Seguridad
El Responsable de los Ficheros mantendrá un Registro de Entradas y Salidas de soportes que alojen datos de nivel medio o alto que contendrá como mínimo, los siguientes registros:
Registro de entradas y salidas de Soportes:
Entrada/Salida Fecha Hora Emisor Nº
soportes Contenido
Forma envío
Receptor
Cospa & Agilmic, S.L.U. Documento de Seguridad
81
ANEXO V
Equipos de tratamiento de los datos y estructura de la red de la Compañía
Cospa & Agilmic, S.L.U. Documento de Seguridad
82
Cospa & Agilmic, S.L.U. Documento de Seguridad
83
La Compañía utiliza los siguientes equipos para tratar los datos de carácter
personal y están distribuidos en red de la forma que a continuación se incluye:
Madrid:
Cospa & Agilmic, S.L.U. Documento de Seguridad
84
Cospa & Agilmic, S.L.U. Documento de Seguridad
85
Acens:
Cospa & Agilmic, S.L.U. Documento de Seguridad
86
Acens 2
Cospa & Agilmic, S.L.U. Documento de Seguridad
87
Cloud híbrido C&A
Cospa & Agilmic, S.L.U. Documento de Seguridad
88
Delegaciones:
Cospa & Agilmic, S.L.U. Documento de Seguridad
89
Almacén Madrid:
Cospa & Agilmic, S.L.U. Documento de Seguridad
90
ANEXO VI
Declaración personal interno de la Compañía
D. , con DNI. , el cual está unido por una relación laboral con COSPA-AGILMIC, S.L.U., en el ejercicio de sus funciones accederá y tratará datos ubicados en ficheros de los cuales la mencionada Compañía es responsable o encargada del tratamiento, según lo que indica la normativa en vigor en materia de protección de datos de carácter personal,
DECLARA
I. Que se compromete a guardar la confidencialidad sobre los datos que conozca en ejercicio de sus funciones. Asimismo únicamente accederá a los datos por motivos o finalidades que se desprendan de sus funciones y obligaciones laborales, reconociendo que la propiedad legal e intelectual de todos ellos, pertenece a COSPA & AGILMIC, S.L.U.
II. Que con el fin de acceder a los ficheros dispone de una contraseña personal e intransferible. En todo caso deberá mantener la mencionada contraseña bajo su control y en caso que sospechara que un tercero no autorizado ha tenido acceso a la misma así tendría que comunicarlo al Responsable de Seguridad. En ningún caso utilizará la contraseña para acceder a los ficheros fuera de las oficinas de COSPA-AGILMIC, S.L.U., sin el consentimiento expreso de dicha Compañía.
III. Que en ningún caso accederá a los ficheros con facultades superiores a las indicadas en el Documento de Seguridad elaborado e implementado por los responsables designados al efecto por COSPA & AGILMIC, S.L.U.
IV. Que cuando los datos que utilice para el desempeño de sus funciones, estén en soporte papel u otro soporte material, los almacenará en armarios o cajones debidamente cerrados con llave. Así mismo se asegurará de su completa destrucción una vez estos ficheros hayan dejado de servir a la finalidad por la que fueron creados.
V. Que comunicará cualquier incidencia en relación a la utilización de los datos personales, según el procedimiento señalado en el Documento de Seguridad de COSPA-AGILMIC, S.L.U.
Cospa & Agilmic, S.L.U. Documento de Seguridad
91
VI. Que mediante la firma de este documento reconoce que ha sido informado de sus obligaciones en relación a los datos de carácter personal, dando así por cumplido lo que indica el artículo 89.2 del Real Decreto 1720/2007, de 21 de Diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de Diciembre, de protección de datos de carácter personal.
VII. Que ha entregado sus propios datos personales a COSPA-AGILMIC, S.L.U. con el objetivo de establecer y gestionar la relación laboral que le une en ésta.
VIII. Que mediante la firma de este documento reconoce que se le ha informado que puede ejercer los derechos de acceso, rectificación, cancelación y oposición en la calle Bravo Murillo, 377, 6ª Planta de Madrid.
IX. Que únicamente utilizará los medios técnicos que COSPA-AGILMIC, S.L.U., le pone a su disposición, para finalidades profesionales. En concreto no hará uso del correo electrónico, del acceso a Internet y del Ordenador que se le facilita, para finalidades personales y privadas en un grado de abuso que vulnere la buena fe contractual.
X. Que consiente que los representantes de COSPA-AGILMIC, S.L.U. controlen el uso que realiza de los medios técnicos que le ha facilitado, siempre que la compañía disponga de argumentos objetivos para sospechar que ha vulnerado lo que dispone el punto anterior de este documento y utilice los medios idóneos, necesarios y proporcionales para investigar la citada vulneración.
En Madrid, a de de
D. José Luis Ruiz Aguilar
Cospa & Agilmic, S.L.U. Documento de Seguridad
92
D. José Luis Ruiz Aguilar, con DNI 798.552-S, en nombre y representación de la sociedad COSPA-AGILMIC, S.L.U., en calidad de Apoderado,
AUTORIZA
A D. , con DNI. , como empleado de COSPA-AGILMIC, S.L.U. a utilizar fuera de las oficinas y fuera de su horario laboral, las claves de acceso del ordenador a través del cual desempeña también su trabajo en horario de oficina, que le han sido entregadas, en relación a su categoría profesional, por COSPA-AGILMIC, S.L.U.
Asimismo, y en cumplimiento de la Ley 15/1999, de 13 de Diciembre, de Protección de Datos de Carácter Personal y del pacto de Confidencialidad firmado en fecha de de , se le autoriza a extraer ficheros de la empresa, los cuales obran en poder de COSPA-AGILMIC, S.L.U. como encargada del fichero, únicamente para el cumplimiento estricto de las finalidades que le han sido encargadas por el titular del Fichero que las ha facilitado.
Y para que así conste, se firma la presente autorización en Madrid, a de de .
D. José Luis Ruiz Aguilar
Cospa & Agilmic, S.L.U. Documento de Seguridad
93
Personas con autorización para sacar datos de la empresa:
Pedro Fernández Henche
Eduardo Gala Sánchez
Juan Carlos García Calderón
Manuel López Álvaro
Natalia Matarranz Salinas
Emilio Mochales Monge
Pedro Luis Rico Ortega
Antonio Yagüe Amo
Antonio García Fernández
Iván González San José
Roberto Cosío Pruneda
Soraya López Bernardez
Pedro Minguela Velasco
Juan Manuel Bañuelos
Antonio Diaz Ramos
Borja de Temple Jové
Fco. Javier Gutiérrez Badorrey
Josep Anton Pérez Cañas
Cospa & Agilmic, S.L.U. Documento de Seguridad
94
ANEXO VII
Personal con acceso a los datos
ACCESO DE USUARIOS AL SERVIDOR DE FICHEROS COSPANET Y A
LOS PROGRAMAS
Incluye:
1- Acceso de usuarios a las recursos de la red ubicados en el servidor Cospanet (Servidor de ficheros):
a. Carpetas individuales. b. Carpetas departamentales. c. Carpetas públicas.
2- Acceso de usuarios a programas usados.
1- ACCESO A RECURSOS DE RED Entendemos por recursos de red, aquellas carpetas creadas en el servidor que contendrán datos de trabajo de los diferentes usuarios de la empresa. Para controlar los accesos a estos recursos, se han establecido diferentes grupos de trabajo pertenecientes al dominio, y a los que pertenecen los usuarios, en función al departamento que les corresponda o funciones que realizan. Estrategias de Uso de Grupos En A G DL P, se colocan cuentas de usuario (A) en grupos globales (G), se colocan los grupos globales en grupos locales de dominio (DL) y, a continuación, se conceden permisos (P) a los grupos locales de dominio. Esta estrategia ofrece flexibilidad para el crecimiento de la red y reduce el número de veces que se deben definir los permisos. Se utiliza A G DL P para un bosque formado por uno o varios dominios, ya que permite que se puedan agregar futuros dominios. A G DL P tiene las siguientes ventajas:
Cospa & Agilmic, S.L.U. Documento de Seguridad
95
• Los dominios son flexibles. • Los propietarios de los recursos necesitan menos acceso a Active Directory
para proteger de forma flexible sus recursos. A G DL P tiene la siguiente desventaja:
• Una estructura de administración por niveles es más compleja de configurar al principio, pero, con el tiempo, es más fácil de administrar.
La estrategia de uso de grupos utilizada para el dominio “cospa.local” es “A G DL P” Cuentas de usuario ���� Grupos globales ���� Grupos locales de dominio Permisos
(A) (G) (DL) (P)
Cospa & Agilmic, S.L.U. Documento de Seguridad
96
Listado de empleados, ficheros a los que acceden y nivel de acceso.
Nombre empleado Ficheros a los que accede Nivel de acceso Delegación ACHA MARTIN, M TERESA Clientes - Alumnos Total MADRID
ALARCON FERNANDEZ, MERCEDES Clientes - Alumnos " MADRID
ARCONADA MUÑOZ, JAVIER Clientes " MADRID
ARNEDO GARCIA, BERNARDO Clientes - Alumnos " MADRID
ARRANZ FRUTOS, M INMACULA Clientes - Proveedores " MADRID
CABALLERO RODRIGUEZ, ANA MARIA Clientes - Alumnos " MADRID
CACHO SANZ, JAVIER Clientes " MADRID
CASTILLO SANZ, MARIA ROSA -------- -------- MADRID
CAVERO TORREJON, PEDRO LUIS Clientes - Alumnos Total MADRID
COSIO PRUNEDA, ROBERTO Todos “ MADRID
DIAZ CASTRO, DAVID Alumnos " MADRID
DIEGUEZ GARCIA, SONIA Clientes - Proveedores " MADRID
DOMINGO DOMINGUEZ, VERONICA Clientes - Alumnos " MADRID
ENCINAS GARCIA, FCO JAVIER Clientes - Alumnos " MADRID
FERNANDEZ HENCHE, PEDRO Clientes - Proveedores " MADRID
FERNANDEZ LOPEZ, ALBERTO Alumnos " MADRID
FERNÁNDEZ-VEGA FIGUEROA, OSMAR A. Clientes - Proveedores " MADRID
GALA SANCHEZ, EDUARDO Clientes - Económicos " MADRID
GARCIA BAÑOS, BEATRIZ Clientes - Alumnos " MADRID
GARCIA CALDERON, J.CARLOS Todos “ MADRID
GARCIA-ARISTA DELGADO, ALFONSO Alumnos " MADRID
GONZALEZ SAN JOSE, IVAN Todos “ MADRID
GUEVARA NAVAS, EVELYN Alumnos Total MADRID
GUTIERREZ BADORREY, Fº JAVIER Clientes - Prov. - Econom. - Fisc. " MADRID
Cospa & Agilmic, S.L.U. Documento de Seguridad
97
Nombre empleado Ficheros a los que accede Nivel de acceso Delegación JODRA SANCHEZ, OSCAR Clientes " MADRID
LOPEZ ALVARO, MANUEL Clientes - Prov. - Econom. - Fisc. " MADRID
LOPEZ BERNARDEZ, SORAYA Clientes " MADRID
LOPEZ, ALBERTO Alumnos “ MADRID
LORITE DOÑA, JAVIER Clientes - Alumnos " MADRID
MARTIN TEJEDA, VALENTIN Alumnos " MADRID
MARTIN PEREZ-CARRION, CRISTIAN Clientes - Proveedores " MADRID
MATARRANZ SALINAS,NATALIA Clientes " MADRID
MINGUELA VELASCO, PEDRO Clientes " MADRID
MOCHALES MONGE, EMILIO Clientes " MADRID
OCAÑA GUTIERREZ, PALOMA Clientes - Económicos " MADRID
OLALDE GUTIERREZ, YOLANDA Clientes - Alumnos " MADRID
PADILLA MELERO, JAVIER ALF Alumnos " MADRID
PINZAS MONTENEGRO, JOSE M. Alumnos " MADRID
PLA ALVAREZ, EVA Clientes - Alumnos " MADRID
PORTELA PUCHE, PABLO Alumnos " MADRID
REGALIZA SILVA, MANUEL Clientes - Proveedores " MADRID
REYES CORDERO, TANIA Clientes - Alumnos " MADRID
RICO ORTEGA, PEDRO LUIS Clientes " MADRID
RÍO FERNÁNDEZ, JOSE LUIS Alumnos " MADRID
RODRIGUEZ PRADA, DAVID Alumnos " MADRID
RODRIGUEZ RODRIGUEZ, BENIGNO Clientes - Alumnos " MADRID
RUBIO HUALDE, M DOLORES Clientes - Prov. - Econom. " MADRID
RUIZ AGUILAR, JOSÉ LUIS Clientes - Prov. - Econom. - Fisc. " MADRID
RUIZ ORTEGA, TAMARA Clientes - Prov. - Econom. - Fisc. Total MADRID
SOBRINO EXPÓSITO, ÁNGEL Clientes " MADRID
Cospa & Agilmic, S.L.U. Documento de Seguridad
98
Nombre empleado Ficheros a los que accede Nivel de acceso Delegación TAPIA SANCHEZ, JORGE Clientes - Alumnos " MADRID
TAPIA CASTRO, CARMEN Clientes - Proveedores " MADRID
TORRIJOS MOLINA, JULIAN Clientes - Alumnos " MADRID
VARGAS HORMEÑO, M TERESA Clientes - Alumnos " MADRID
VAZQUEZ HERNANDEZ, ALBA Clientes - Alumnos " MADRID
VERCELLI FRIAS, ALFREDO Clientes - Prov. - Econom. - Fisc. " MADRID
YAGÜE AMO, ANTONIO Clientes " MADRID
ZULUETA RODRIGUEZ, M DEL MAR Clientes " MADRID
Nombre empleado Ficheros a los que accede Nivel de acceso Delegación
BENITO NAVARRO, YOLANDA Clientes - Alumnos Total BARCELONA
CANO AGUILA, SUSANA CR. Clientes - Alumnos " BARCELONA
CANOVAS LORENZO, RICARDO Clientes - Alumnos " BARCELONA
CAPARRÓS PÁRAMO, JOSEP Clientes - Alumnos " BARCELONA
COLLADO TOMAS, ELVIRA Clientes " BARCELONA
CUBELLS ROCAMORA, XAVIER Clientes " BARCELONA
DE OÑATE BLANCO, HÉCTOR Clientes - Alumnos " BARCELONA
DE TEMPLE JOVE, BORJA Clientes - Alumnos " BARCELONA
FERNANDEZ ESTEVE, Mª CARMEN Clientes " BARCELONA
GALLEGO QUER, CORA Clientes - Alumnos " BARCELONA
GARCIA CAZALILLA, ESTEBAN Clientes " BARCELONA
GIMENEZ MIOTA, THAIS Mª Clientes - Alumnos " BARCELONA
HOSTA PASCUAL, IGNASI Clientes - Alumnos " BARCELONA
LONOCE, ENRICO Alumnos Total BARCELONA
MIRANDA ZAMBRANA, AARÓN Alumnos " BARCELONA
MOLAS VALIOS, JESUS Clientes - Alumnos " BARCELONA
Cospa & Agilmic, S.L.U. Documento de Seguridad
99
Nombre empleado Ficheros a los que accede Nivel de acceso Delegación MUNNE AYZA, JOAQUIM Clientes - Alumnos " BARCELONA
NARANJO NIELFA, YOLANDA Clientes " BARCELONA
PALACIO OÑATE, JOSE JAVIER Clientes - Alumnos " BARCELONA
PEREZ CAÑAS, JOS. ANTON Clientes - Alumnos " BARCELONA
PERTUSA PASTOR, RAMÓN Alumnos " BARCELONA
PONCE GARCIA, ESTANISLAO Alumnos " BARCELONA
PRIETO GONZALEZ, CRISTINA Clientes - Alumnos " BARCELONA
RIBAS MARTI, GEMMA Clientes " BARCELONA
RUIZ SALAZAR, Mª CARMEN Clientes - Alumnos " BARCELONA
SAAVEDRA MATEU, JOAN Alumnos " BARCELONA
SALES SERRA, JOSE RAMON Clientes - Alumnos " BARCELONA
SANTAMARIA HERNANDEZ, PILAR Clientes - Alumnos " BARCELONA
SOLE PRATS, FERRAN Clientes - Alumnos " BARCELONA
UBED ESTEVE, JOSEP ANTONI Clientes " BARCELONA
VALLS GUILERA, FCO XAVIER Alumnos " BARCELONA
VILLAMARIN SAEZ, OSCAR Alumnos " BARCELONA
Nombre empleado Ficheros a los que accede Nivel de acceso Delegación
RODRIGUEZ VIVO, JESÚS Clientes Total VALENCIA
Nombre empleado Ficheros a los que accede Nivel de acceso Delegación
DIAZ RAMOS, ANTONIO Clientes Total SEVILLA
LEON MARIN, MIGUEL Clientes Total SEVILLA
Nombre empleado Ficheros a los que accede Nivel de acceso Delegación
BAÑUELOS CERRILLO, JUAN MANUEL Clientes Total BILBAO
Cospa & Agilmic, S.L.U. Documento de Seguridad
100
Nombre empleado Ficheros a los que accede Nivel de acceso Delegación PECO GARCIA, GERMAN Clientes - Alumnos " BILBAO
MERINO PEREZ, ELENA Clientes " BILBAO
Nombre empleado Ficheros a los que accede Nivel de acceso Delegación
CABRERO GOMEZ, ALFREDO Clientes - Alumnos Total VALLADOLID
GARCIA FERNANDEZ, ANTONIO Clientes " VALLADOLID
ALVAREZ ALVAREZ, JAIRO Clientes " VALLADOLID
SALAS HERNAIZ, Mª DOLORES Clientes " VALLADOLID
Cospa & Agilmic, S.L.U. Documento de Seguridad
101
Servidor De Ficheros Recursos Compartidos Nombre recurso Ruta carpeta Tipo N. Descripción
Acceso a los Recursos Compartidos Publico Recurso compartido para los todos los Usuarios de la Empresa. Ruta de acceso a la carpeta: D:\Publico. Limite de usuarios: Máximo permitido. No está publicada en el AD. De este recurso compartido o carpeta no se realiza copia de seguridad. Permisos de recurso compartido:
Usuario/Grupo Permisos Permitir Denegar Control Total � Cambiar � Administradores Leer �
Usuario/Grupo Permisos Permitir Denegar Control Total Cambiar � DL.Empleados.Madrid Leer �
Cospa & Agilmic, S.L.U. Documento de Seguridad
102
Seguridad:
Usuario/Grupo Permisos Permitir Denegar Control Total � Modificar � Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir �
Administradores
Permisos Especiales
Usuario/Grupo Permisos Permitir Denegar Control Total Modificar � Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir �
DL.Empleados.Madrid
Permisos Especiales
Administración
Recurso compartido para los Usuarios del Departamento de Administración.
Ruta de acceso a la carpeta: E:\Administracion. Limite de usuarios: Máximo permitido.
No está publicada en el AD. De este recurso compartido o carpeta se realiza copia de
seguridad.
Permisos de recurso compartido:
Usuario/Grupo Permisos Permitir Denegar Control Total � Cambiar � Administradores Leer �
Usuario/Grupo Permisos Permitir Denegar Control Total Cambiar � DL.Administracion Leer �
Cospa & Agilmic, S.L.U. Documento de Seguridad
103
Usuario/Grupo Permisos Permitir Denegar Control Total Cambiar DL.Produccion Leer �
Usuario/Grupo Permisos Permitir Denegar Control Total Cambiar Operadores de Copia Leer �
Seguridad:
Usuario/Grupo Permisos Permitir Denegar Control Total � Modificar � Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir �
Administradores
Permisos Especiales
Usuario/Grupo Permisos Permitir Denegar Control Total Modificar � Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir �
DL.Administracion
Permisos Especiales
Usuario/Grupo Permisos Permitir Denegar Control Total Modificar Lectura y ejecución Mostrar el contenido de la carpeta � Leer � Escribir
DL.Produccion
Permisos Especiales
Usuario/Grupo Permisos Permitir Denegar
Cospa & Agilmic, S.L.U. Documento de Seguridad
104
Control Total Modificar Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir
Operadores de Copia
Permisos Especiales Asesoría Recurso compartido para los Usuarios del Departamento de Asesoría. Ruta de acceso a la carpeta: D:\Asesoria. Limite de usuarios: Máximo permitido. No está publicada en el AD. De este recurso compartido o carpeta se realiza copia de seguridad. Permisos de recurso compartido:
Usuario/Grupo Permisos Permitir Denegar Control Total � Cambiar � Administradores Leer �
Usuario/Grupo Permisos Permitir Denegar
Control Total Cambiar � DL.Asesoria Leer �
Usuario/Grupo Permisos Permitir Denegar
Control Total Cambiar Operadores de Copia Leer �
Seguridad:
Usuario/Grupo Permisos Permitir Denegar Control Total � Modificar � Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir �
Administradores
Permisos Especiales
Usuario/Grupo Permisos Permitir Denegar Control Total Modificar � Lectura y ejecución � Mostrar el contenido de la carpeta �
DL.Asesoria
Leer �
Cospa & Agilmic, S.L.U. Documento de Seguridad
105
Escribir � Permisos Especiales
Usuario/Grupo Permisos Permitir Denegar Control Total Modificar Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir
Operadores de Copia
Permisos Especiales Comercial Recurso compartido para los Usuarios del Departamento Comercial. Ruta de acceso a la carpeta: D:\Comercial. Limite de usuarios: Máximo permitido. No está publicada en el AD. De este recurso compartido o carpeta se realiza copia de seguridad. Permisos de recurso compartido:
Usuario/Grupo Permisos Permitir Denegar Control Total � Cambiar � Administradores Leer �
Usuario/Grupo Permisos Permitir Denegar
Control Total Cambiar � DL.Comercial.AET Leer �
Usuario/Grupo Permisos Permitir Denegar
Control Total Cambiar � DL.Comercial.Educacion Leer �
Usuario/Grupo Permisos Permitir Denegar
Control Total Cambiar Operadores de Copia Leer �
Seguridad:
Usuario/Grupo Permisos Permitir Denegar Control Total � Modificar � Lectura y ejecución �
Administradores
Mostrar el contenido de la carpeta �
Cospa & Agilmic, S.L.U. Documento de Seguridad
106
Leer � Escribir � Permisos Especiales
Usuario/Grupo Permisos Permitir Denegar Control Total Modificar � Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir �
DL.Comercial.AET
Permisos Especiales
Usuario/Grupo Permisos Permitir Denegar Control Total Modificar � Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir �
DL.Comercial.Educacion
Permisos Especiales
Usuario/Grupo Permisos Permitir Denegar Control Total Modificar Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir
Operadores de Copia
Permisos Especiales Dirección Recurso compartido para los Usuarios del Departamento de Dirección. Ruta de acceso a la carpeta: D:\Direccion. Limite de usuarios: Máximo permitido. No está publicada en el AD. De este recurso compartido o carpeta se realiza copia de seguridad. Permisos de recurso compartido:
Usuario/Grupo Permisos Permitir Denegar Control Total � Cambiar � Administradores Leer �
Usuario/Grupo Permisos Permitir Denegar
DL.Direccion Control Total
Cospa & Agilmic, S.L.U. Documento de Seguridad
107
Cambiar � Leer �
Usuario/Grupo Permisos Permitir Denegar Control Total Cambiar Operadores de Copia Leer �
Seguridad:
Usuario/Grupo Permisos Permitir Denegar Control Total � Modificar � Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir �
Administradores
Permisos Especiales
Usuario/Grupo Permisos Permitir Denegar Control Total Modificar � Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir �
DL.Direccion
Permisos Especiales
Usuario/Grupo Permisos Permitir Denegar Control Total Modificar Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir
Operadores de Copia
Permisos Especiales
Marketing Recurso compartido para los Usuarios del Departamento de Marketing. Ruta de acceso a la carpeta: E:\Marketing. Limite de usuarios: Máximo permitido. No está publicada en el AD. De este recurso compartido o carpeta se realiza copia de seguridad.
Cospa & Agilmic, S.L.U. Documento de Seguridad
108
Permisos de recurso compartido:
Usuario/Grupo Permisos Permitir Denegar Control Total � Cambiar � Administradores Leer �
Usuario/Grupo Permisos Permitir Denegar
Control Total Cambiar � DL.Marketing Leer �
Usuario/Grupo Permisos Permitir Denegar
Control Total Cambiar Operadores de Copia Leer �
Seguridad:
Usuario/Grupo Permisos Permitir Denegar Control Total � Modificar � Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir �
Administradores
Permisos Especiales
Usuario/Grupo Permisos Permitir Denegar Control Total Modificar � Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir �
DL.Marketing
Permisos Especiales
Usuario/Grupo Permisos Permitir Denegar Control Total Modificar Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir
Operadores de Copia
Permisos Especiales
Cospa & Agilmic, S.L.U. Documento de Seguridad
109
Orientación Recurso compartido para los Usuarios del Departamento de Orientación. Ruta de acceso a la carpeta: E:\Orientacion. Limite de usuarios: Máximo permitido. No está publicada en el AD. De este recurso compartido o carpeta se realiza copia de seguridad. Permisos de recurso compartido:
Usuario/Grupo Permisos Permitir Denegar Control Total � Cambiar � Administradores Leer �
Usuario/Grupo Permisos Permitir Denegar
Control Total Cambiar � DL.Orientacion Leer �
Usuario/Grupo Permisos Permitir Denegar
Control Total Cambiar Operadores de Copia Leer �
Seguridad:
Usuario/Grupo Permisos Permitir Denegar Control Total � Modificar � Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir �
Administradores
Permisos Especiales
Usuario/Grupo Permisos Permitir Denegar Control Total Modificar � Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir �
DL.Orientacion
Permisos Especiales
Usuario/Grupo Permisos Permitir Denegar Control Total Modificar
Operadores de Copia
Lectura y ejecución �
Cospa & Agilmic, S.L.U. Documento de Seguridad
110
Mostrar el contenido de la carpeta � Leer � Escribir Permisos Especiales
Producción Recurso compartido para los Usuarios del Departamento de Producción. Ruta de acceso a la carpeta: E:\Produccion. Limite de usuarios: Máximo permitido. No está publicada en el AD. De este recurso compartido o carpeta se realiza copia de seguridad. Permisos de recurso compartido:
Usuario/Grupo Permisos Permitir Denegar Control Total � Cambiar � Administradores Leer �
Usuario/Grupo Permisos Permitir Denegar
Control Total Cambiar � DL.Produccion Leer �
Usuario/Grupo Permisos Permitir Denegar
Control Total Cambiar Operadores de Copia Leer �
Seguridad:
Usuario/Grupo Permisos Permitir Denegar Control Total � Modificar � Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir �
Administradores
Permisos Especiales
Usuario/Grupo Permisos Permitir Denegar Control Total Modificar � Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir �
DL.Produccion
Permisos Especiales
Cospa & Agilmic, S.L.U. Documento de Seguridad
111
Usuario/Grupo Permisos Permitir Denegar
Control Total Modificar Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir
Operadores de Copia
Permisos Especiales Programación Recurso compartido para los Usuarios del Departamento de Programación. Ruta de acceso a la carpeta: D:\Prog. Limite de usuarios: Máximo permitido. No está publicada en el AD. De este recurso compartido o carpeta se realiza copia de seguridad. Permisos de recurso compartido:
Usuario/Grupo Permisos Permitir Denegar Control Total � Cambiar � Administradores Leer �
Usuario/Grupo Permisos Permitir Denegar
Control Total Cambiar � DL.App.Asesor Leer �
Usuario/Grupo Permisos Permitir Denegar
Control Total Cambiar � DL.App.LiberMarc Leer �
Usuario/Grupo Permisos Permitir Denegar
Control Total Cambiar � DL.App.Lola Leer �
Usuario/Grupo Permisos Permitir Denegar
Control Total Cambiar � DL.Programacion Leer �
Usuario/Grupo Permisos Permitir Denegar Control Total Cambiar DL.SAE Leer �
Cospa & Agilmic, S.L.U. Documento de Seguridad
112
Usuario/Grupo Permisos Permitir Denegar
Control Total Cambiar Operadores de Copia Leer �
Seguridad:
Usuario/Grupo Permisos Permitir Denegar Control Total � Modificar � Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir �
Administradores
Permisos Especiales
Usuario/Grupo Permisos Permitir Denegar Control Total Modificar Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir
DL.App.Asesor
Permisos Especiales
Usuario/Grupo Permisos Permitir Denegar Control Total Modificar Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir
DL.App.LiberMarc
Permisos Especiales
Usuario/Grupo Permisos Permitir Denegar Control Total Modificar Lectura y ejecución � Mostrar el contenido de la carpeta �
DL.App.Alexia
Leer �
Cospa & Agilmic, S.L.U. Documento de Seguridad
113
Escribir Permisos Especiales
Usuario/Grupo Permisos Permitir Denegar
Control Total Modificar � Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir �
DL.Programacion
Permisos Especiales
Usuario/Grupo Permisos Permitir Denegar Control Total Modificar Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir
DL.SAE
Permisos Especiales
Usuario/Grupo Permisos Permitir Denegar Control Total Modificar Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir
Operadores de Copia
Permisos Especiales
SAE
Recurso compartido para los Usuarios del Departamento de CTE. Ruta de acceso a la carpeta: E:\SAE Limite de usuarios: Máximo permitido. No está publicada en el AD. De este recurso compartido o carpeta se realiza copia de seguridad. Permisos de recurso compartido:
Usuario/Grupo Permisos Permitir Denegar Control Total � Cambiar � Administradores Leer �
Usuario/Grupo Permisos Permitir Denegar
Cospa & Agilmic, S.L.U. Documento de Seguridad
114
Control Total Cambiar � DL.SAE Leer �
Usuario/Grupo Permisos Permitir Denegar Control Total Cambiar Operadores de Copia Leer �
Seguridad:
Usuario/Grupo Permisos Permitir Denegar Control Total � Modificar � Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir �
Administradores
Permisos Especiales
Usuario/Grupo Permisos Permitir Denegar Control Total Modificar � Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir �
DL.SAE
Permisos Especiales
Usuario/Grupo Permisos Permitir Denegar Control Total Modificar Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir
Operadores de Copia
Permisos Especiales
SAT Recurso compartido para los Usuarios del Departamento de SAT. Ruta de acceso a la carpeta: E:\SAT. Limite de usuarios: Máximo permitido. No está publicada en el AD. De este recurso compartido o carpeta se realiza copia de seguridad.
Cospa & Agilmic, S.L.U. Documento de Seguridad
115
Permisos de recurso compartido:
Usuario/Grupo Permisos Permitir Denegar Control Total � Cambiar � Administradores Leer �
Usuario/Grupo Permisos Permitir Denegar Control Total Cambiar � DL.SAT Leer �
Usuario/Grupo Permisos Permitir Denegar Control Total Cambiar Operadores de Copia Leer �
Seguridad:
Usuario/Grupo Permisos Permitir Denegar Control Total � Modificar � Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir �
Administradores
Permisos Especiales
Usuario/Grupo Permisos Permitir Denegar Control Total Modificar � Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir �
DL.SAT
Permisos Especiales
Usuario/Grupo Permisos Permitir Denegar Control Total Modificar Lectura y ejecución �
Operadores de Copia
Mostrar el contenido de la carpeta �
Cospa & Agilmic, S.L.U. Documento de Seguridad
116
Leer � Escribir Permisos Especiales
Sistemas Recurso compartido para los Usuarios del Departamento de Sistemas. Ruta de acceso a la carpeta: E:\Sistemas. Limite de usuarios: Máximo permitido. No está publicada en el AD. De este recurso compartido o carpeta se realiza copia de seguridad. Permisos de recurso compartido:
Usuario/Grupo Permisos Permitir Denegar Control Total � Cambiar � Administradores Leer �
Usuario/Grupo Permisos Permitir Denegar Control Total Cambiar � DL.Sistemas Leer �
Usuario/Grupo Permisos Permitir Denegar Control Total Cambiar DL.SAT Leer �
Usuario/Grupo Permisos Permitir Denegar Control Total Cambiar Operadores de Copia Leer �
Seguridad:
Usuario/Grupo Permisos Permitir Denegar Control Total � Modificar � Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir �
Administradores
Permisos Especiales
Cospa & Agilmic, S.L.U. Documento de Seguridad
117
Usuario/Grupo Permisos Permitir Denegar Control Total � Modificar � Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir �
DL.Sistemas
Permisos Especiales
Usuario/Grupo Permisos Permitir Denegar Control Total Modificar Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir
DL.SAT
Permisos Especiales
Usuario/Grupo Permisos Permitir Denegar Control Total Modificar Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir
Operadores de Copia
Permisos Especiales
Usuarios Recurso compartido para los Usuarios de la Empresa. Ruta de acceso a la carpeta: E:\Usuarios. Dentro de esta carpeta existe una carpeta por Cada Uno De Los Usuarios De La Empresa. Ruta de acceso a la carpeta: E:\Usuarios\<Nombre_Usuario>. Limite de usuarios: Máximo permitido. No está publicada en el AD. De este recurso compartido o carpeta se realiza copia de seguridad. Permisos de recurso compartido E:\Usuarios:
Usuario/Grupo Permisos Permitir Denegar Control Total � Cambiar � Administradores Leer �
Usuario/Grupo Permisos Permitir Denegar Usuarios Autentificados Control Total
Cospa & Agilmic, S.L.U. Documento de Seguridad
118
Cambiar � Leer �
Usuario/Grupo Permisos Permitir Denegar Control Total Cambiar Operadores de Copia Leer �
Seguridad de E:\Usuarios:
Usuario/Grupo Permisos Permitir Denegar Control Total � Modificar � Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir �
Administradores
Permisos Especiales
Usuario/Grupo Permisos Permitir Denegar Control Total Modificar Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir
Operadores de Copia
Permisos Especiales
Usuario/Grupo Permisos Permitir Denegar Control Total Modificar Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir
Usuarios Autentificados
Permisos Especiales Seguridad de E:\Usuarios\<Nombre_Usuario>:
Usuario/Grupo Permisos Permitir Denegar Control Total � Modificar � Lectura y ejecución � Mostrar el contenido de la carpeta �
Administradores
Leer �
Cospa & Agilmic, S.L.U. Documento de Seguridad
119
Escribir � Permisos Especiales
Usuario/Grupo Permisos Permitir Denegar Control Total Modificar � Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir �
<Usuario.cospa.local>
Permisos Especiales
Usuario/Grupo Permisos Permitir Denegar Control Total Modificar Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir
Operadores de Copia
Permisos Especiales
RRHH Recurso compartido para los Usuarios del Departamento de Recursos Humanos. Ruta de acceso a la carpeta: E:\RRHH. Limite de usuarios: Máximo permitido. No está publicada en el AD. De este recurso compartido o carpeta se realiza copia de seguridad. Permisos de recurso compartido:
Usuario/Grupo Permisos Permitir Denegar Control Total � Cambiar � Administradores Leer �
Usuario/Grupo Permisos Permitir Denegar
Control Total Cambiar � DL.RRHH Leer �
Usuario/Grupo Permisos Permitir Denegar
Control Total Cambiar Operadores de Copia Leer �
Cospa & Agilmic, S.L.U. Documento de Seguridad
120
Seguridad:
Usuario/Grupo Permisos Permitir Denegar Control Total � Modificar � Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir �
Administradores
Permisos Especiales
Usuario/Grupo Permisos Permitir Denegar Control Total � Modificar � Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir �
DL.RRHH
Permisos Especiales
Usuario/Grupo Permisos Permitir Denegar Control Total Modificar Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir
Operadores de Copia
Permisos Especiales
Comité.Operaciones Recurso compartido para los Usuarios del Comité de Operaciones. Ruta de acceso a la carpeta: E:\Comite.Operaciones. Limite de usuarios: Máximo permitido. No está publicada en el AD. De este recurso compartido o carpeta se realiza copia de seguridad. Permisos de recurso compartido:
Usuario/Grupo Permisos Permitir Denegar Control Total � Cambiar � Administradores Leer �
Cospa & Agilmic, S.L.U. Documento de Seguridad
121
Usuario/Grupo Permisos Permitir Denegar
Control Total Cambiar � DL.Comite.Operaciones Leer �
Usuario/Grupo Permisos Permitir Denegar
Control Total Cambiar � DL.SVA Leer �
Usuario/Grupo Permisos Permitir Denegar
Control Total Cambiar Operadores de Copia Leer �
Seguridad:
Usuario/Grupo Permisos Permitir Denegar Control Total � Modificar � Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir �
Administradores
Permisos Especiales
Usuario/Grupo Permisos Permitir Denegar Control Total � Modificar � Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir �
DL.Comite.Operaciones
Permisos Especiales
Usuario/Grupo Permisos Permitir Denegar Control Total � Modificar � Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir �
DL.SVA
Permisos Especiales
Cospa & Agilmic, S.L.U. Documento de Seguridad
122
Usuario/Grupo Permisos Permitir Denegar Control Total Modificar Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir
Operadores de Copia
Permisos Especiales
Comite.Ventas Recurso compartido para los Usuarios del Comité de Ventas. Ruta de acceso a la carpeta: E:\Comite.Ventas. Limite de usuarios: Máximo permitido. No está publicada en el AD. De este recurso compartido o carpeta se realiza copia de seguridad. Permisos de recurso compartido:
Usuario/Grupo Permisos Permitir Denegar Control Total � Cambiar � Administradores Leer �
Usuario/Grupo Permisos Permitir Denegar
Control Total Cambiar � DL.Comite.Ventas Leer �
Usuario/Grupo Permisos Permitir Denegar
Control Total Cambiar Operadores de Copia Leer �
Seguridad:
Usuario/Grupo Permisos Permitir Denegar Control Total � Modificar � Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir �
Administradores
Permisos Especiales
Cospa & Agilmic, S.L.U. Documento de Seguridad
123
Usuario/Grupo Permisos Permitir Denegar Control Total � Modificar � Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir �
DL.Comite.Ventas
Permisos Especiales
Usuario/Grupo Permisos Permitir Denegar Control Total Modificar Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir
Operadores de Copia
Permisos Especiales
Comite.Alexia Recurso compartido para los Usuarios del Comité Alexia. Ruta de acceso a la carpeta: E:\Comite.Alexia. Limite de usuarios: Máximo permitido. No está publicada en el AD. De este recurso compartido o carpeta se realiza copia de seguridad. Permisos de recurso compartido:
Usuario/Grupo Permisos Permitir Denegar Control Total � Cambiar � Administradores Leer �
Usuario/Grupo Permisos Permitir Denegar
Control Total Cambiar � DL.Comite.Alexia Leer �
Usuario/Grupo Permisos Permitir Denegar
Control Total Cambiar Operadores de Copia Leer �
Cospa & Agilmic, S.L.U. Documento de Seguridad
124
Seguridad:
Usuario/Grupo Permisos Permitir Denegar Control Total � Modificar � Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir �
Administradores
Permisos Especiales
Usuario/Grupo Permisos Permitir Denegar Control Total � Modificar � Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir �
DL.Comite.Alexia
Permisos Especiales
Usuario/Grupo Permisos Permitir Denegar Control Total Modificar Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir
Operadores de Copia
Permisos Especiales
Cospa & Agilmic, S.L.U. Documento de Seguridad
125
2- ACCESO A PROGRAMAS
Programa Datos relacionados Acceso permitido a Logic Class ERP Compañía Se adjunta lista Interno Datos de clientes. Pedidos antiguos,
material y de tests. Empleados de Madrid y delegaciones.
Intranet Datos de clientes y licencias contratadas.
Empleados de Madrid, Barcelona y delegaciones.
Orión Servicio Datos de clientes con servicio de tests contratado.
Dpto. Producción: - Benigno Rodríguez. - Julián Torrijos. - Javier Encinas.
Dpto. Orientación: - Beatriz García.
Sigma Servicio Datos de clientes con servicio de evaluación contratado.
Dpto. Producción: - Benigno Rodríguez. - Julián Torrijos. - Javier Encinas.
Asesor Servicio Datos de clientes con servicio de asesoría contratado.
Dpto. Asesoría: - Pedro Rico. - Emilio Mochales. - Natalia Matarranz. - Soraya López
Cospa & Agilmic, S.L.U. Documento de Seguridad
126
RELACION DE PERSONAL DE COSPA&AGILMIC,S.L. - Logic Class
Personal Dpto. Deleg.
GARCIA CAZALILLA, ESTEBAN ASESOR BAR
ANTONIO GARCÍA FERNÁNDEZ ASESOR VALL
JUAN M. BAÑUELOS CERRILLO ASESOR BIL
ANTONIO DÍAZ RAMOS ASESOR SEV
NATALIA MATARRANZ SALINAS ASESOR MAD
PEDRO LUIS RICO ORTEGA ASESOR SEC
LOPEZ BERNARDEZ, SORAYA ASESOR MAD
ASESOR
EMILIO MOCHALES MONGE ASESOR MAD
DIEGUEZ GARCIA, SONIA CORADM MAD
PALOMA OCAÑA GUTIÉRREZ CORADM MAD
MANUEL LÓPEZ ALVARO CORADM MAD
GUTIERREZ BADORREY, Fº JAVIER CORADM MAD
JOSEP ANTONI UBED ESTEVE CORADM BAR
EDUARDO GALA SÁNCHEZ CORADM MAD
RUBIO HUALDE, M DOLORES CORADM MAD
Mª TAMARA RUIZ ORTEGA CORADM MAD
JOSE LUIS RUIZ CISNEROS CORALM SEC
FERNANDEZ VEGA FIGUEROA, OSMAR CORSGO MAD
PALACIO OÑATE, JOSE JAVIER CORSGO SEC
INMACULADA ARRANZ FRUTOS CORSGO MAD
NARANJO NIELFA, YOLANDA DIRCOR BAR
CARMEN TAPIA CASTRO AETSOL MAD
CORPORATIVA
GEMMA RIBAS MARTÍ AETSOL BAR
IGNASI HOSTA PASCUAL EDUBAR SEC
ELVIRA COLLADO TOMÁS EDUBAR BAR
YOLANDA BENITO NAVARRO EDUBAR BAR
FERRAN SOLE PRATS EDUBAR BAR
MUNNE AYZA, JOAQUIM EDUCAT BAR
EDUCACIÓN
CANOVAS LORENZO, RICARDO EDUCAT BAR
Cospa & Agilmic, S.L.U. Documento de Seguridad
127
VARGAS HORMEÑO, M TERESA EDUCAT MAD
ALARCON FERNANDEZ, MERCEDES EDUCAT MAD
JOSEP CAPARRÓS PÁRAMO EDUCAT BAR
CANO AGUILA, SUSANA CR. EDUCAT BAR
PILAR SANTAMARIA HERNANDEZ EDUCAT BAR
TERESA ACHA MARTIN EDUCAT MAD
BERNARDO ARNEDO GARCÍA EDUCAT MAD
PRIETO GONZALEZ, CRISTINA EDUCAT BAR
Mª CARMEN RUIZ SALAZAR EDUCAT BAR
ALFREDO CABRERO GÓMEZ EDUCAT VALL
RUIZ AGUILAR, JOSÉ LUIS EDUCAT SEC
DOMINGO DOMINGUEZ, VERONICA EDUCAT MAD
GALLEGO QUER, CORA EDUCAT BAR
CABALLERO RODRIGUEZ, ANA MARIA EDUCAT MAD
MANUEL REGALIZA SILVA EDUCAT MAD
CAÑADA GURRUCHAGA, JESUS EDUCAT MAD
VARGAS HORMEÑO, M TERESA EDUCAT MAD
JESÚS MOLAS VALIOS EDUCAT BAR
GIMENEZ MIOTA, THAIS Mª EDUCAT BAR
FERNANDEZ ESTEVE, M CARMEN EDUCTE BAR
PLA ALVAREZ, EVA EDUCTE MAD
DE OÑATE BLANCO, HECTOR EDUCTE BAR
MERINO PEREZ, ELENA EDUCTE BIL
VAZQUEZ HERNANDEZ, ALBA EDUCTE MAD
SALES SERRA, JOSE RAMON EDUCTE BAR
MIGUEL LEÓN MARÍN EDUDEL SEV
JAVIER CACHO SANZ EDUDEL SEC
GERMÁN PECO GARCÍA EDUDEL BIL
ALVAREZ ALVAREZ, JAIRO EDUDEL VALL
PEDRO MINGUELA VELASCO EDUMAD MAD
GARCIA BAÑOS, BEATRIZ EDUORI MAD
BENIGNO RODRÍGUEZ RODRÍGUEZ EDUPRO MAD
JULIÁN TORRIJOS MOLINA EDUPRO MAD
FCO. JAVIER ENCINAS GARCIA EDUPRO MAD
ANTONIO YAGÜE AMO EDUSEC SEC
SOBRINO EXPOSITO, ANGEL EDUSOF SEC
JODRA SANCHEZ, OSCAR EDUVEN SEC
EDUCACIÓN
ARCONADA MUÑOZ, JAVIER EDUVEN MAD
Cospa & Agilmic, S.L.U. Documento de Seguridad
128
SALAS HERNAIZ, M DOLORES EDUVEN VALL
RODRIGUEZ VIVO, JESUS EDUVEN VALE
ALFREDO JOSE VERCELLI GERENC SEC GERENCIA
CASTILLO SANZ, MARIA ROSA GERENC MAD
CRISTIAN MARTÍN PÉREZ MKTDIR SEC
ESTANISLAO PONCE GARCÍA MKTPUB BAR MARKETING
ZULUETA RODRIGUEZ, M DEL MAR MNGMKT MAD
JOSE ANTONIO PÉREZ CAÑAS SISAMC BAR
BORJA DE TEMPLE JOVE SISDES BAR
RODRIGUEZ PRADA, DAVID SISDES BAR
DIAZ CASTRO, DAVID TECINT MAD
LORITE DOÑA, JAVIER SISSIG BAR
JOSE LUIS RÍO FERNÁNDEZ SISSIG MAD
REYES CORDERO, TANIA TECINT MAD
PEDRO FERNÁNDEZ HENCHE TECHRD MAD
XAVIER CUBELLS ROCAMORA TECHRD BAR
JUAN CARLOS GARCÍA CALDERÓN SISSIG MAD
CAVERO TORREJON, PEDRO LUIS TECHRD MAD
SISTEMAS
COSIO PRUNEDA, ROBERTO TECINF MAD
Cospa & Agilmic, S.L.U. Documento de Seguridad
129
6.1.1 Delegación Madrid
Situación Actual
Las “Características, tanto hardware como software, del Servidor” de la
delegación son las siguientes:
Nombre UPN CospaNet.cospa.local
IP 192.168.1.3
Modelo de máquina HP Proliant ML 330 G3
Procesador 1 x Intel Xeon - 3.6 Ghz
Memoria RAM 1 x 1024 Mb
Unidades de disco 3 x 146,8 GB (RAID-5) – 1 x 300 GB
Tarjetas de Red 1 x 1 Gbps
Sistema Operativo Microsoft Windows Server 2003 Standard
Edition – SP2
Funciones y servicios Controlador de Dominio.
Servidor DHCP.
Servidor DNS.
Servidor de Aplicaciones (Servidor Web,
Servidor de Componentes y Microsoft SQL Server
2000).
Servidor de Ficheros.
Cospa & Agilmic, S.L.U. Documento de Seguridad
130
Aplicaciones Instaladas Microsoft Office 2002 SP3
Adobe Reader 7.0
Internet Explorer 7.0
Symantec LiveState Recovery
McAfee VirusScan Enterprise 7.1.0
Las “Copias de Seguridad” realizadas en la delegación se realizan con la
“Utilidad de Copias de Seguridad del sistema (NTBackup de Microsoft)”. Son
ejecutadas por dos usuarios: “Administrador y BackUpsCospaAgilmic”, que
cuentan con los permisos y derechos de usuario adecuados para poder realizarlas. El
acceso a los archivos de copia de seguridad está “Permitido sólo al propietario y al
administrador”, por lo que únicamente el administrador o la persona que creó el
archivo de copia de seguridad podrá restaurar los archivos y carpetas.
Los “Datos de los que se realizan copias de seguridad” son los siguientes:
El “Estado del sistema” es una colección de datos específicos del sistema que
el sistema operativo mantiene y que deben incluirse en una copia de seguridad como
una unidad. El equipo usa estos archivos del sistema para cargar, configurar y ejecutar
el sistema operativo.
Cospa & Agilmic, S.L.U. Documento de Seguridad
131
Los “Datos Departamentales” son los datos fundamentales de cada
departamento y están agrupados en un archivo de selección que tiene el nombre y
que se encuentra en: “E:\BackUps\Selecciones\DatosDepartamentales.bks”.
Cospa & Agilmic, S.L.U. Documento de Seguridad
132
Los “Datos de Usuarios”, son los datos fundamentales de cada usuario y están
agrupados en un archivo de selección que tiene el nombre y que se encuentra en:
“E:\BackUps\Selecciones\DatosUsuarios.bks”.
Cospa & Agilmic, S.L.U. Documento de Seguridad
133
.
.
.
.
Cospa & Agilmic, S.L.U. Documento de Seguridad
134
Los “Datos de las Aplicaciones Web”, son los datos de las aplicaciones Web
que desarrolla la empresa.
Cospa & Agilmic, S.L.U. Documento de Seguridad
135
6.1.2 Delegación Barcelona
Situación Actual
Las “Características, tanto hardware como software, de los Servidores” de
la delegación son las siguientes:
Nombre UPN Serverbcn.bcn.cospa-aagilmic.com
IP 192.168.128.203
Modelo de máquina -
Procesador 1 x Intel Quad Q6600 - 2.4 Ghz
Memoria RAM 4 x 1024 Mb
Unidades de disco 2 x 500 GB (RAID-1) – 1 x 500 GB
Tarjetas de Red 1 x 1 Gbps
Sistema Operativo Microsoft Windows Server 2003 R2 -
Standard Edition – SP2
Funciones y servicios Controlador de Dominio.
Servidor DHCP.
Servidor DNS.
Servidor FTP (envío recepción SMS Amic)
Servidor de Ficheros.
Aplicaciones
Instaladas
Adobe Reader 7.0
Internet Explorer 7.0
McAfee VirusScan Enterprise 8.5.0i
VNC Server.
Server-U (servidor ftp)
Cospa & Agilmic, S.L.U. Documento de Seguridad
136
Nombre UPN mailbcn.bcn.cospa-agilmic.com
IP 192.168.128.69
Modelo de máquina -
Procesador 1 x Intel Quad Q6600 - 2.4 Ghz
Memoria RAM 4 x 1024 Mb
Unidades de disco 2 x 500 GB (RAID-1) – 1 x 500 GB
Tarjetas de Red 1 x 1 Gbps
Sistema Operativo Microsoft Windows Server 2003 R2 -
Standard Edition – SP2
Funciones y servicios Servidor FTP
Servidor de Correo
Aplicaciones
Instaladas
Adobe Reader 7.0
Internet Explorer 7.0
McAfee VirusScan Enterprise 8.5.0i
Server-U (Servidor ftp)
Mdaemon (servidor de correo electr.)
Cospa & Agilmic, S.L.U. Documento de Seguridad
137
Nombre UPN Srv-app2.bcn.cospa-agilmic.com
IP 192.168.128.121
Modelo de máquina -
Procesador 2 x Intel Xeon E5506 - 2.13 Ghz
Memoria RAM 12 Gb
Unidades de disco 2 x 500 GB
2 x 2 TB
Tarjetas de Red 1 x 1 Gbps
Sistema Operativo Microsoft Windows Server 2008 R2 -
Standard Edition
Funciones y servicios Servidor de Ficheros.
Servidor Copias
Aplicaciones Instaladas Adobe Reader 7.0
Internet Explorer 7.0
McAfee VirusScan Enterprise 8.5.0i
Sql Server 2008 R2 Express
Cospa & Agilmic, S.L.U. Documento de Seguridad
138
Las “Copias de Seguridad” realizadas en la delegación se realizan con la
utilidad “Karen’s Replicator” instalada en
Srv-App2. Esta utilidad permite centralizar
la copia de datos de uno, varios servidores
o pc’s a un destino local o de red. En el
Id#24, está creada la tarea que realiza un
duplicado de los archivos comprimidos por
cada tarea y los envía al disco extraíble. El
disco extraíble de este equipo es el que
posteriormente se envía a la Oficina
Central (Madrid) de forma alternativa con
los 2 discos que se poseen para esta tarea.
Los “Datos de los que se realizan copias de seguridad” son los siguientes:
Id# Origen Destino
1 \\mailbcn\c$\Programes de Servei\ \\srv-app2\m$\Copies\MailBcn\Mails\
2 \\pcdisseny\MARKETING\ \\serverbcn\DADES\Dpt_Disseny\Marketing\
3 \\pcdisseny\PROGRAMACIO\ \\serverbcn\DADES\Dpt_Disseny\Programacio\
4 \\Programacio\e$\LOLA\CopiaBD\ M:\Copies\Programacio\CopiaBD\
5 \\Programacio\LOLA\ \\srv-app2\m$\Copies\Programacio\LOLA\
6 \\Programacio\Recursos\ \\srv-app2\m$\Copies\Programacio\Recursos\
7 \\serverbcn\centrecalcul\AgMicClau\ \\srv-app2\m$\Copies\ServerBcn\AgMicClau\
8 \\serverbcn\centrecalcul\C_Calcul\ \\srv-app2\m$\Copies\ServerBcn\C_Calcul\
9 \\serverbcn\centrecalcul\CLASGES4\ \\srv-app2\m$\Copies\ServerBcn\CLASGES4\
10 \\serverbcn\centrecalcul\CTC\ \\srv-app2\m$\Copies\ServerBcn\CTC\
11 \\serverbcn\centrecalcul\Docus\ \\srv-app2\m$\Copies\ServerBcn\Docus\
12 \\serverbcn\centrecalcul\FTC\ \\srv-app2\m$\Copies\ServerBcn\FTC\
13 \\serverbcn\centrecalcul\SOFT\ \\srv-app2\m$\Copies\ServerBcn\SOFT\
14 \\serverbcn\centrecalcul\Soport\ \\srv-app2\m$\Copies\ServerBcn\Soport\
15 \\serverbcn\DADES\ \\srv-app2\m$\Copies\ServerBcn\Dades\
16 \\serverbcn\Pudruccio\PROGRAMACIO en ServerBCN\
Amic\ \\srv-app2\m$\Copies\ServerBcn\Programacio\Amic\
17 \\serverbcn\Pudruccio\PROGRAMACIO en ServerBCN\
OriWise\ \\srv-app2\m$\Copies\ServerBcn\Programacio\Oriwise\
18 \\serverbcn\Pudruccio\PROGRAMACIO en ServerBCN\
PalMaster\ \\srv-app2\m$\Copies\ServerBcn\Programacio\PalMaster\
19 \\serverbcn\Pudruccio\PROGRAMACIO en ServerBCN\Vb5\ \\srv-app2\m$\Copies\ServerBcn\Programacio\VB5\
20 \\serverbcn\Pudruccio\PROGRAMACIO en ServerBCN\Vb6\ \\srv-app2\m$\Copies\ServerBcn\Programacio\VB6\
21 \\serverbcn\Pudruccio\PROGRAMACIO en ServerBCN\
Wise\ \\srv-app2\m$\Copies\ServerBcn\Programacio\Wise\
22 \\serverbcn\ServerWeb\ \\srv-app2\m$\Copies\ServerBcn\ServerWeb\
Cospa & Agilmic, S.L.U. Documento de Seguridad
139
23 \\srv-app2\m$\Copies\MailBcn\Mails\ \\srv-app2\m$\Copies\MailBcn\Mails\
24 M:\CopiaCompri\ I:\Bak_MAD\
Descripción de las tareas
Id. Tarea
Copia
Descripción
1 Realiza una copia de los correos electrónicos (e-mails) de los usuarios
del dominio
2 – 3 Copia los trabajos realizados por el personal de diseño Marketing a una
carpeta en el servidor de ficheros
4 Extrae una copia de las Bases de datos utilizadas, en programación,
incluido el control de cambios en el código fuente del Programa Alexia.
5 Copia documentos complementarios utilizados por el Departamento de
Programación.
6 Archivos con los recursos ( programas / manuales / demos ) utilizados
por el Programación.
7 Programa de control de claves utilizado para la aplicación realizada para
“la Caixa”. (casi no se actualiza)
8 Carpeta con datos de clientes de Centro de Cálculo (Àmic)
9 Antiguo programa de gestión del Departamento de Hard
10 Antiguo programa de contabilidad
11 Documentos públicos de usuarios
12 Antiguo programa de facturación
13 Antiguo programa de gestión de claves (anterior a Àmic)
Cospa & Agilmic, S.L.U. Documento de Seguridad
140
14 Carpeta con utilidades para el departamento de CTE. (Àmic)
15 Carpeta con Datos departamentales y Carpetas del personal
16 Código fuente de la Aplicación Àmic
17 Carpeta con los ejecutables y datos de configuración con las que se
crean los instaladores para clientes. (Àmic)
18 Código fuente de la aplicación PalMaster (PDA) Àmic
19 Carpeta con aplicaciones y utilidades realizadas con Visual Basic 5.0
20 Carpeta con aplicaciones y utilidades realizadas con Visual Basic 6.0
21 Carpeta con los instaladores de las aplicaciones Àmic, VB5 y VB6
22 Carpeta que da soporte al envío de SMS (Àmic)
23 Tarea de compresión de los correos electrónicos. (Se separó, para no
sobrecargar el proceso de copia y compresión).
24 Tarea que realiza la copia de las carpetas comprimidas a la unidad
externa rotativa. (Estas unidades son las que se envían por valija interna
a la sede de Madrid).
Cospa & Agilmic, S.L.U. Documento de Seguridad
141
Una vez realizada la copia de los datos, para poder probar el funcionamiento
de la copia y poder replicar los servidores, se realiza una virtualización (con la utilidad
gratuita Disk2vhd) en caliente de los servidores que incluye el disco de sistema y su
configuración. Este proceso se realiza manualmente y con una periodificación
semestral/anual, aproximadamente.
Se realiza sobre los 3 servidores:
1. Servidor de dominio y documentos \\serverbcn.bcn.cospa-agilmic.com
2. Servidor de correo \\mailbcn.bcn.cospa-agilmic.com
3. Servidor Programación \\programacio.bcn.cospa-agilmic.com
Cospa & Agilmic, S.L.U. Documento de Seguridad
142
Cospa & Agilmic, S.L.U. Documento de Seguridad
143
ANEXO VIII
Registro de accesos
El Responsable del Fichero se compromete a establecer un Registro de
Accesos para los ficheros que exigen un nivel de seguridad alto, que contendrá los
siguientes campos:
Identificación del Usuario
Fecha Hora Fichero accedido
Tipo de acceso
Concedido o denegado
Cospa & Agilmic, S.L.U. Documento de Seguridad
144
ANEXO IX
Modelo de registro de incidencias
INCIDENCIA Nº: FECHA NOTIFICACIÓN:
TIPO DE INCIDENCIA: (incluir código según mesa adjunta)
Tipo 1 Modificaciones o accesos no autorizados a información Tipo 2 Pérdida de información Tipo 3 Copias indebidas de datos en puestos de trabajo Tipo 4 Mal funcionamiento del sistema de copias de seguridad Tipo 5 Errores de sistemas/transacciones/ base de datos Tipo 6 Accesos no autorizados a locales donde se ubican los sistemas de
tratamiento de datos Tipo 7 Caída del sistema Tipo 8 Intento no autorizado de salida de soportes Tipo 9 Destrucción total/parcial de soportes Tipo 10 Conocimiento de terceros del identificador de usuario o contraseña Tipo 11 Existencia de sistemas sin las debidas medidas de seguridad Tipo 12 Cambio de ubicación física de los ficheros Tipo 13 Otros:
FECHA Y HORA DE LA INCIDENCIA: PERSONA(ES) QUE DETECTA(EN) LA INCIDENCIA Nombre y apellidos Cargo Departamento
PERSONA(S) A QUIÉN SE COMUNICA
Nombre y apellidos Cargo Departamento
DESCRIPCIÓN DETALLADA DE LA INCIDENCIA: EFECTOS QUE PUDO PRODUCIR: Persona que realiza la comunicación Firmado:_________________________ Cargo:___________________________
Responsable del fichero: Firmado:__________________________ Cargo:____________________________
Persona que recupera los datos: Nombre:_________________
Datos restaurados: Datos registrados manualmente:
Cospa & Agilmic, S.L.U. Documento de Seguridad
145
ANEXO X
LAS PERSONAS RELACIONADAS A CONTINUACIÓN SON LAS AUTORIZADAS A ACCEDER A LOCALES CON SOPORTES Y SISTEMAS INFORMÁTICOS .
Madrid
1. Juan Carlos García Calderón
2. Iván González San José
3. Roberto Cosío Pruneda
Barcelona
1. José Antonio Pérez
2. Xavier Cubells
3. Borja de Temple
Cospa & Agilmic, S.L.U. Documento de Seguridad
146
ANEXO XI
MARCO NORMATIVO COMUNICACIONES COMERCIALES ELECTRÓNICAS
LSSICE y comunicaciones comerciales. Aspectos generales.
La Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico. (en adelante, “LSSICE”), transpone al ordenamiento jurídico español, la Directiva 2000/31/CE, del Parlamento Europeo y del Consejo, de 8 de junio, relativa a determinados aspectos de los servicios de la sociedad de la información, en particular, el comercio electrónico en el mercado Interior, y se marcó como objetivo en su momento, regular ciertos aspectos relacionados con las actividades que se venían llevando a cabo en la sociedad de la información, entendiendo como tal cualquier “servicio prestado normalmente a título oneroso, a
distancia, por vía electrónica y a petición individual del destinatario”. Entre otros aspectos por tanto, la LSSICE regula, en sus artículos 19 a 22, el envío de comunicaciones comerciales por vía electrónica.
Este documento tiene como finalidad analizar cómo afecta a la actividad empresarial de Cospa & Agilmic, S.L.U, especialmente en sus acciones de Marketing online, los supuestos de aplicación de la LSSICE más comunes: el envío de correos electrónicos1. En todos estos supuestos la LSSICE pretende impedir la proliferación del fenómeno conocido “spam”, definido por la propia AEPD, como cualquier mensaje no solicitado y que, normalmente, tiene el fin de ofertar, comercializar o tratar de despertar el interés respecto de un producto, servicio o empresa determinada. El presente documento consta de una primera parte de explicación de la normativa actualmente vigente en esta materia y una segunda que propone un protocolo de actuación para la implementación de la misma en las actividades de Cospa & Agilmic, S.L.U.
Los derechos que esta normativa otorga, son aplicables tanto a personas físicas como jurídicas y ello se desprende de la definición que la LSSICE establece para los “destinatarios del servicio” o simples “destinatarios”: “persona física o jurídica
que utiliza, sea o no por motivos profesionales, un servicio de la sociedad de la
información”. Por tanto las condiciones que a continuación veremos serán de aplicación tanto si el receptor del mensaje es una persona física (en cuyo caso también será aplicable la normativa de protección de datos, como expresamente prevé el artículo 19.2 LSSICE), como si es una persona jurídica.
1
Las obligaciones que a continuación indicaremos serían también aplicables al envío de SMS o MMS.
Cospa & Agilmic, S.L.U. Documento de Seguridad
147
Requisitos para el envío de comunicaciones comerciales electrónicas.
Requisito principal: Consentimiento expreso.
El artículo 21.1 LSSICE prohíbe de forma expresa, el envío de comunicaciones comerciales electrónicas (por correo electrónico u otro medio equivalente), que no hubieran sido previamente solicitadas o autorizadas expresamente por su destinatario (persona física o jurídica). La LSSICE define comunicación comercial como “toda
forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de
los bienes o servicios de una empresa, organización o persona que realice una
actividad comercial, industrial, artesanal o profesional”.
¿Qué es una comunicación comercial?
-Debe tratarse de un mensaje publicitario o con finalidades comerciales. Por tanto, podemos considerar que no estarán sujetas a la regulación de la LSSICE las comunicaciones electrónicas con carácter meramente informativo o la publicidad de tipo institucional.
-Promoción directa o indirecta de imagen o de los bienes o servicios. Así cuando un mensaje publicitario, sujeto a la LSSICE, aluda de forma directa a un bien o un servicio para promover su compra o contratación, nos encontraremos en este supuesto. La LSSICE, incluyendo la “promoción indirecta” pretende adicionalmente, cubrir la mayoría de supuestos de envíos publicitarios donde, a pesar de no promocionar de forma concreta un bien o servicio, se lanzan mensajes con el objetivo de dar a conocer a una empresa o marca, con la finalidad última de que dicha promoción de la marca o empresa, acabe incitando al receptor del mensaje a consumir sus bienes o servicios. Este sería el caso de la publicidad corporativa.
Requisitos adicionales: información y revocación.
Una vez obtenido el consentimiento previo y expreso para el envío de la comunicación comercial, el mensaje enviado deberá cumplir con los siguientes requisitos informativos:
-Identificar de forma clara el nombre de la persona física o jurídica en nombre de la que se envía el mensaje publicitario. La ley dice expresamente “en nombre de la
cual”, lo que implica que si una determinada campaña a través del envío de comunicaciones comerciales electrónicas, es gestionada por un tercero por cuenta del beneficiario de la publicidad, en cada envío publicitario deberá informarse, al menos de los datos de dicho beneficiario.
-Incluir en el comienzo del mensaje la palabra “Publicidad” (en los correos electrónicos) o “Publi” (especialmente en los SMS). Además de esta obligación genérica para las comunicaciones comerciales en general, en los casos que dicha comunicación contenga una oferta promocional, en el mensaje dicha oferta deberá ser identificable como tal.
Cospa & Agilmic, S.L.U. Documento de Seguridad
148
-Facilitar al receptor del mensaje la posibilidad de revocar el consentimiento de una forma sencilla y gratuita. La revocación del consentimiento para el envío de comunicaciones comerciales no implicará la cancelación (el borrado) de los datos del afectado, a menos que este no lo manifestara expresamente; ello no implica que en el caso de revocación del consentimiento, quien realiza los envíos publicitarios deberá tomar todas las medidas para que el afectado no siga recibiendo tales envíos.
Excepciones a la regla general.
El artículo 21 de la LSSICE prevé en su apartado segundo, que no será necesario el consentimiento previo del receptor del mensaje cuando los datos hubieran sido obtenidos de forma lícita en el marco de una relación contractual previa. En este caso pues, será posible el envío de comunicaciones comerciales electrónicas, sin el consentimiento previo de su receptor, siempre que se cumpla el requisito anterior y que las comunicaciones versen sobre productos o servicios similares a los inicialmente adquiridos o contratados y que sean de la propia empresa, organización o profesional. Este caso pues, viene a cubrir los supuestos en que un titular de un fichero dispone de datos de los clientes que le han adquirido algún producto o contratado alguno de sus servicios con anterioridad y quiere hacer uso de los mismos para informarle de productos o servicios similares y propios de quien hace el envío publicitario. Analicemos a continuación los elementos que definen esta importante excepción:
-Debe existir una relación contractual previa. En relación a este primero e importante requisito es necesario poner de relieve que quien envía las comunicaciones comerciales sin el consentimiento del receptor, basándose en esta excepción, debe estar en disposición de probar tal relación contractual; es decir que en el caso de una hipotética inspección de la AEPD, deberá aportar pruebas en este sentido; esta afirmación es válida tanto en el supuesto que los datos que establezcan dicha relación contractual se hubieran obtenido por medios tradicionales (contratos o documentación en papel), como si dichos datos se hubieran recogido a través de medios telemáticos.
-Debe informarse de productos o servicios similares a los que se adquirieron o contrataron en primera instancia (cuando se recopiló el dato). El segundo de los requisitos goza de un alto grado de indefinición debido al uso del término “similares”. Por lo tanto siguiendo el principio de prudencia que debe regir en el caso del tratamiento de datos, la recomendación sería extremar las precauciones al momento de aplicar esta excepción e analizar cada situación de forma individualizada.
-Los productos o servicios deben ser de la misma empresa que mantiene la relación contractual previa. Esto implica por ejemplo, que no sería admisible la remisión de publicidad por una empresa del mismo grupo que la que tiene la relación contractual con el receptor.
Infracciones y sanciones:
La LSSICE establece en su artículo 38 el importante apartado de infracciones y establece como una infracción leve el envío de comunicaciones comerciales sin el
Cospa & Agilmic, S.L.U. Documento de Seguridad
149
cumplimiento de alguno de los requisitos recientemente analizados (sanción hasta 30.000 €). Recordamos en este punto que el incumplimiento de los citados requisitos puede llevar añadido una violación de la normativa de protección de datos, en cuyo caso sería aplicable también el régimen sancionador de dicha normativa.
En el caso de que se envíen tres o más comunicaciones comerciales a un mismo destinatario en el plazo de un año, sin cumplir con los requisitos establecidos, la infracción pasaría a ser considerada como grave (multa de 30.001 a 150.000 €).
PROTOCOLO DE ACTUACIÓN DE COSPA & AGILMIC, S.L.U. EN EL ENVÍO DE COMUNICACIONES COMERCIALES ELECTRÓNICAS
Una vez analizado el marco normativo relacionado con el envío de comunicaciones comerciales electrónicas, se propone el siguiente protocolo de actuación que debería regir las actividades de marketing de Cospa & Agilmic, S.L.U:
-Envío de comunicaciones comerciales electrónicas a clientes actuales de Cospa & Agilmic, S.L.U.: como se ha visto esta es una de las excepciones a la regla general del consentimiento expreso, por lo que se les podrá seguir enviando comunicaciones comerciales electrónicas sin necesidad de contar con dicho consentimiento expreso,
-Envío de comunicaciones comerciales electrónicas a antiguos clientes de Cospa & Agilmic, S.L.U. con los que se haya mantenido una relación contractual previa: al igual que en el caso anterior, podrán seguir remitiéndose correos comerciales electrónicos, sin necesidad de contar con su consentimiento expreso.
-Contactos generados a través de las páginas web titularidad de Cospa & Agilmic, S.L.U. Actualmente la citada web dispone de un aviso legal que cumple con el requisito de informar y de otorgar el consentimiento para recibir correos comerciales por vía electrónica. De todas formas habiendo revisado el formulario de contacto, recomendamos que se habilite un sistema mediante el cual, quien rellena el formulario de contacto no pueda enviar sus datos sin la aceptación expresa del citado aviso legal (check box sin marcar).
-Correos electrónicos obtenidos de otras fuentes (distintas a clientes). Como ha quedado indicado, el requisito que la normativa exige para el envío de correos electrónicos comerciales a este colectivo, es contar con su consentimiento expreso y previo. A pesar de esta obligatoriedad lo cierto es que los órganos competentes han distinguido los supuestos en los que el envío de un correo electrónico comercial era fruto de una relación previa con el receptor (a pesar de no ser cliente), de los casos en que el envío se realiza sin ningún tipo de contacto o relación anterior (por ejemplo las compras de bases de datos). Así la Audiencia Nacional, por ejemplo, estimó un
Cospa & Agilmic, S.L.U. Documento de Seguridad
150
recurso contra una sanción de la AEPD que había sido impuesta por haber enviado información comercial a quien, en el marco de una feria, había entregado su tarjeta profesional. La Audiencia Nacional
determinó ““En contra de lo argumentado por la resolución recurrida, la entrega
de una tarjeta que contiene la dirección de e-mail, precisamente en una feria de ámbito
comercial en que el demandado promociona su producto, evidencia que, además del
teléfono y la dirección postal, quien la entrega consiente en que se dirijan
comunicaciones comerciales a dicha dirección de e-mail en relación con el
mencionado producto.”
Por tanto para los supuestos de envíos de correos electrónicos comerciales a personas o entidades que no son clientes pero con las que se mantiene una relación habitual, se recomienda que se guarde un registro de las acciones llevadas a cabo con dicha persona (llamadas, reuniones, visitas, etc..). De este modo, en el caso que un envío de un correo electrónico comercial, fuese denunciado por el destinatario, se podría demostrar dicha relación previa y esto podría ser considerado como una prueba indiciaria del consentimiento lo que actuaría en favor de Cospa & Agilmic, S.L.U.
-Correos electrónicos de personas o entidades con las que no puede demostrarse relación previa alguna y obtenidos de fuentes “públicas”. Este supuesto incluye los supuestos en que las direcciones de correo electrónico, han sido obtenidas a través de Internet o de guías (en papel o online) publicadas por organismos de distinta naturaleza. La disponibilidad de las direcciones para cualquiera que tenga acceso a Internet o a dichas guías, no las convierte en públicas según lo establecido en la LSSICE y la doctrina reiterada de la AEPD. Es por esta razón, junto a la normativa específica de la LSSICE, que el uso de dichas direcciones con el objetivo de remitir comunicaciones comerciales electrónicas, requerirá del consentimiento previo y expreso del destinatario o su autorización expresa a dichos efectos. En caso de no poderse demostrar dicho consentimiento previo y expreso, existe un riesgo de ser sancionado por el incumplimiento de los requisitos necesarios para el envío de comunicaciones comerciales electrónicas. En cualquier caso se recomienda que antes de dicho envío se contacte, por otros medios distintos al electrónico, con el titular del correo a efectos de obtener dicho consentimiento expreso o cuanto menos, de iniciar el contacto, registrando dichas acciones, y en caso de denuncia que se pueda demostrar una mínima relación previa lo que podría mitigar la graduación de una eventual sanción.
¿Cuál debe ser el contenido del mensaje?
Tal y como ha quedado señalado en el apartado normativo, el mensaje que se envíe deberá incluir una forma sencilla y gratuita para que el destinatario deje de recibir más correos. Actualmente el sistema elegido es una nota al pie del mensaje que incluye un enlace para que el destinatario se dé de baja de los envíos. Este sistema se considera correcto.
Cospa & Agilmic, S.L.U. Documento de Seguridad
151
Adicionalmente deberá mencionarse en algún lugar del mensaje (preferentemente en el asunto o al inicio del mismo, la palabra “Publicidad” o “Publi”, e indicar en nombre de quien se remite dicho mensaje.
¿Cómo actuar en caso de oposición al envío?
En el supuesto que un destinatario ejerciera este derecho (oposición), significará, como también ha quedado indicado, que no desea que su correo electrónico sea utilizados para los envíos. Esto a la práctica tendrá las siguientes consecuencias:
-El ejercicio de este derecho, no implica, salvo mención expresa del titular del correo electrónico, el ejercicio del derecho de cancelación (borrado de sus datos), sino simplemente que no quieren que estos se usen con la finalidad publicitaria.
-Deberá informarse al destinatario, en un plazo máximo de 10 días hábiles (contando los sábados a efectos de cómputo), que se ha procedido a dar de baja su correo electrónico, respondiendo con el siguiente mensaje:
Apreciado XXX:
Le informamos que según el email recibido el pasado XXXX, hemos tomado las
acciones necesarias para que el correo electrónico XXXX@XXXX no reciba más
correos promocionales de COSPA & AGILMIC.S.L.U.
Atentamente,
-Tras el envío de dicho mensaje, deberán tomarse las medidas técnicas necesarias para que el correo electrónico desde el que se ha ejercido el derecho, no reciba más comunicaciones comerciales electrónicas de Cospa & Agilmic, S.L.U. En cualquier caso se anotará la fecha y hora exacta en la que el titular del derecho ejerció su derecho y la fecha y hora en la que se le concedió mediante el envío de la respuesta. Esta información deberá archivarse por un período de dos años.
-Adicionalmente, cada supuesto de solicitud de baja deberá ser anotada como una reclamación de un cliente de acuerdo a la política de calidad de Cospa & Agilmic, S.L.U. Dicha reclamación dará lugar a una acción correctiva (proceder a la baja del correo y enviar el mensaje incluido en este protocolo) y por último a una acción preventiva (a la que se da cumplimiento mediante la redacción de este protocolo).
-La solicitud de baja no generará ninguna tarea en relación al Documento de Seguridad de Cospa & Agilmic, S.L.U. al no considerarse incidencia sino una mera
reclamación de un cliente.
ANEXO XII
CLOUD PRIVADO
Un Cloud Privado significa que todos los recursos están dedicados única y
exclusivamente a nuestros Clientes frente al cloud público o híbrido en el que los
recursos y los anchos de banda, son compartidos por muchas empresas, lo cual no
permite garantizar que éstos estén disponibles ante la demanda de los mismos. El
nivel de soporte es de 24x7x365.
2. Cobertura de la Solución: En ningún momento se limita la
transferencia, ancho de banda, sesiones concurrentes o espacio ocupado o necesario
por el Cliente.
3. Copias de seguridad: Mantenimiento de copias de seguridad de
datos y repositorio. Con independencia de ello y para que el Cliente disponga de una
copia redundada, C&A habilita una copia para que el Cliente opcionalmente pueda
tener una copia en otro lugar en línea con el Reglamento de Seguridad de la AEPD.
Alta Disponibilidad y redundancia de equipos y servicios críticos: La
infraestructura garantiza el funcionamiento de las BBDD a través de un Cluster de
servidores SQL Server así como el almacenamiento de la información en cabinas con
un nivel de seguridad RAID 5 implementado. Todos los dispositivos de red que
forman parte de la infraestructura que garantiza el Servicio se encuentran
redundados en alta disponibilidad.
5. Trafico de Internet: Se garantiza la disponibilidad del ancho de banda
sin límite bajo demanda y sin necesidad de aprobación previa por C&A, para el
funcionamiento óptimo del Servicio bajo cualquier circunstancia.
6. Seguridad Lógica: A la seguridad lógica ya establecida por el IDC, se
amplía adicionalmente la misma, con la presencia de antivirus en todos los equipos.
Cospa & Agilmic, S.L.U. Documento de Seguridad
153
7. Seguridad de Acceso: Los datos transferidos en los accesos WEB se
encuentran cifrados mediante comunicación HTTPS. Los accesos a la aplicación
Windows se realiza a través de Terminal Server.
8. Se utilizan adicionalmente, Firewalls dedicados destinados a garantizar
el bloqueo de accesos no autorizados.
9. Control de Rendimiento: Con el fin de garantizar el rendimiento óptimo
de todos los accesos al Servicio, se dispone de dispositivos físicos dedicados que
balancearán la carga entre los diferentes equipos de la infraestructura.
Seguridad física en su más amplio sentido : Controles de acceso a equipos
físicos, sistemas de protección de incendios y detección de fugas de agua o
combustible, centralizados y tele-gestionados, disponibilidad eléctrica
asegurada por redundancia de equipos mediante SAIs y grupos electrógenos,
añadiendo elementos alternativos como sistemas by-pass, transferencias de
cargas críticas sin cortes de tensión, aislamiento galvánico, red equipotencial
de tierra, etc., Climatización controlada: mediante equipos autónomos que
aseguran niveles de temperatura y humedad óptimos para el funcionamiento de
la infraestructura., Monitorización y vigilancia permanente: Sistema de gestión
del edificio (BMS) que monitoriza de forma centralizada la situación y estado de
la infraestructura con sistema de alarmas: centro de transformación, grupos
electrógenos, alimentación ininterrumpida, distribución eléctrica, climatización,
control de incendios, humedad, apertura de puertas, etc.
Cospa & Agilmic, S.L.U. Documento de Seguridad
154
V.3/2012
CONTRATO DE INSTALACIÓN Y CESIÓN DE USO DE LICENCIAS DE SOFTWARE ALEXIA
(MODALIDAD CLOUD)
INTERVINIENTES:
Ambas Partes, en adelante “las Partes” se reconocen plena capacidad para contratar y obligarse en los
términos previstos en el presente Contrato, y de sus voluntades libres y espontáneas.
EXPONEN:
1. Que C&A, es una empresa dedicada al desarrollo de soluciones informáticas.
2. Que C&A, es titular de los derechos de explotación sobre la Plataforma denominada
ALEXIA, que incluye los módulos contratados y especificados en el Anexo III (en adelante,
“ALEXIA”). A estos efectos se hace constar que C&A tiene registrados todos los derechos de
explotación de ALEXIA en el Registro de la Propiedad Intelectual bajo el nº 16/2012/428.
3. Que C&A, va a proceder a la instalación y mantenimiento de ALEXIA en los términos
previstos en este Contrato.
4. Que el Cliente es una entidad dedicada a la Docencia.
5. Que el Cliente desea contratar con C&A, la instalación y mantenimiento de ALEXIA para
el/los Centro/os en el Centro de Datos indicado en el Anexo IV.
6. Que el Cliente, al efecto de utilizar ALEXIA, está interesado en la contratación del servicio
Cloud Privado (en adelante el Servicio/s), mediante el cual C&A pone a su disposición
equipos y servidores, así como unas conexiones adecuadas para el uso de ALEXIA.
7. Que el Cliente podrá contratar, en el momento de la firma de este Contrato o en futuro, el
acceso a servicios y aplicaciones adicionales, titularidad de terceros y sobre los que C&A
tiene los derechos suficientes para su comercialización (en adelante, “los Productos
Complementarios”).
Que la instalación, mantenimiento y cesión de uso de ALEXIA se va a llevar a cabo de
acuerdo con las siguientes
De una parte.
La Sociedad con denominación social Cospa-Agilmic
S.L.U., con CIF núm. B-84537653 con domicilio social
en Madrid, calle Bravo Murillo, nº 377, 6ª planta, C.P.
28020, representada en este acto por D. José Luis Ruiz
Aguilar, con DNI núm. 00798552-S, en calidad de
Apoderado (en adelante, “C&A”).
Por otra parte.
La Entidad con denominación COLEGIO EJEMPLO, con
CIF núm. A99999999X, con domicilio en la localidad de
MADRID (MADRID), calle Bravo Murillo, 377, C.P.
28020, representada en este acto por D./Dña. Director
del centro, con DNI núm. 9999999-A, en calidad de
Director, (en adelante, “el Cliente”).
CONTRATO Nº:
FECHA:
Cospa & Agilmic, S.L.U. Documento de Seguridad
155
CLÁUSULAS:
Primera. Objeto del Contrato.
El presente Contrato tiene como finalidad la concesión de un derecho de uso de
licencia, intransferible y no exclusiva, por parte de C&A, al Cliente en relación con ALEXIA. En
virtud de este Contrato únicamente se cede al Cliente el derecho de uso. Cualquier otro derecho
distinto del cedido y mencionado anteriormente se entenderá como no cedido.
A estos efectos, se entenderá por ALEXIA la versión en código objeto del mismo así
como el resto de Documentación (los manuales de usuario y las instrucciones operativas
entregadas) y soportes, así como todas las ulteriores actualizaciones (las versiones
actualizadas de ALEXIA y de la Documentación, englobando las mejoras, extensiones y
cualesquiera otros cambios operados en los mismos), que reciba el Cliente durante la vigencia
del presente Contrato, ya sean en formato impreso o en lenguaje máquina.
La licencia concedida en virtud de este Contrato se basa en el acuerdo de las partes
sobre lo siguiente:
1. Que el Cliente reconoce que se encuentra autorizado a usar ALEXIA y elementos necesarios
para su uso únicamente de acuerdo con las cláusulas previstas en este Contrato.
2. Que la autorización de uso prevista en este Contrato no se extenderá a ninguna filial del
Cliente, así como tampoco a cualesquiera otras empresas o sociedades con las que el
Cliente mantenga o pueda mantener relación accionarial o comercial alguna ni a ningún
centro adicional a los previstos en el Anexo IV, salvo autorización expresa y por escrito de
C&A.
3. Que toda la documentación relativa a las distintas funcionalidades o módulos que
componen ALEXIA serán suministradas al Cliente.
Asimismo, este Contrato regula los términos y condiciones según los cuales C&A, a cambio de la
contraprestación recogida en el Anexo III, pondrá a disposición del Cliente la infraestructura del Cloud,
con las especificaciones técnicas y lógicas recogidas en el mismo, con la finalidad exclusiva de garantizar
el acceso a ALEXIA en las condiciones de uso detalladas en el presente Contrato. El citado Servicio se
prestará en las condiciones establecidas en este Contrato y con las características y nivel de calidad
establecidas en las Cláusulas vigésima y vigesimosegunda.
Segunda. Duración.
Cospa & Agilmic, S.L.U. Documento de Seguridad
156
Este Contrato de Licencia comienza el día de su firma y tendrá una duración inicial de 1 año
natural. El Contrato será renovado automáticamente, por tácita reconducción, salvo manifestación en
contra de alguna de las Partes, con un preaviso mínimo de 60 días antes de su vencimiento. Este
acuerdo será necesario también para las sucesivas prórrogas, que puedan acordarse. Si el Cliente
hubiera contratado ALEXIA acogiéndose a alguna oferta de precios escalados por periodos de tiempo
previamente determinados, se aplicarán automáticamente los precios de la oferta en los periodos
predeterminados, en las sucesivas renovaciones de contrato, obviando la actualización de precios que le
correspondería en caso de no haberse acogido a dicha oferta. La terminación del presente Contrato
implicará la de cualquier obligación de mantenimiento, ejecución o instalación que recaiga en C&A, en
relación a ALEXIA.
Tercera. Puesta en marcha.
La puesta en marcha de ALEXIA, se realizará en el Centro de Datos indicado en el Anexo IV del
presente Contrato.
La instalación de ALEXIA, se llevará a cabo exclusivamente por el personal autorizado por C&A.
Cuarta. Traspaso de datos.
C&A garantiza el traspaso de los datos de alumnos, familiares, personal del Cliente, históricos de
calificaciones y en general los relativos a los expedientes de los alumnos, desde las aplicaciones de gestión
SIGMA – AMIC – GEDOC al sistema de gestión ALEXIA. Dicha garantía se otorga bajo la asunción que el
citado traspaso se realiza sobre la base de los ficheros originales del Cliente que, deberán estar
perfectamente configurados de acuerdo a los requisitos de la aplicación original.
Este traspaso de datos será realizado y supervisado por el personal de C&A debidamente cualificado y está
sometido a la regulación del presente Contrato.
El Cliente podrá obtener toda la documentación oficial publicada en la vigente Ley de Educación (LOE) y los
posteriores desarrollos de las distintas Consejerías de Educación de cada Comunidad Autónoma. En lo
relativo a la documentación oficial anterior a la entrada en vigor de LOE, el Cliente deberá conservar los
ficheros correspondientes a la aplicación que, hasta el día de la fecha venía utilizando (SIGMA, GEDOC,
AMIC) y será desde estas aplicaciones, desde donde, en el caso de ser necesario, deberá listar cualquier
documento oficial correspondiente a las anteriores leyes de educación (LOGSE, LOCE, LODE...).
C&A traspasará los datos de la aplicación de recibos escolares que el usuario tiene en su actual aplicación
de Gestión (SIGMA, GEDOC, AMIC), hasta un histórico de 5 años atrás, a contar desde el año natural en el
que se realice el traspaso de datos.
Quinta. Licencia o autorización de uso de ALEXIA.
Cospa & Agilmic, S.L.U. Documento de Seguridad
157
Se autoriza al Cliente en virtud de este Contrato, con carácter intransferible y no exclusivo, a
usar ALEXIA única y exclusivamente para sus funciones y objetivos internos y en el marco del desarrollo
de su actividad, de acuerdo con las premisas previstas en el presente Contrato. En virtud de este
Contrato únicamente se cede al Cliente el derecho de uso sobre ALEXIA. Cualquier otro derecho distinto
del cedido y mencionado anteriormente se entenderá como no cedido.
Asimismo, mediante la firma de este Contrato, se cede al Cliente el derecho de uso de la
infraestructura a que se refiere el último párrafo de la Cláusula Primera, únicamente para el uso de
ALEXIA y solamente durante el tiempo que este Contrato se mantenga vigente. La resolución de este
Contrato por cualquier causa, implicará el cese automático del uso de la infraestructura.
Sexta. Propiedad de ALEXIA y derechos de explotación del mismo.
El Cliente reconoce que ALEXIA le es cedido para su uso y no para su reproducción,
modificación, cesión, venta, alquiler o préstamo y se compromete a no ceder su uso total o parcial de
ninguna forma y a no transmitir ni sub-licenciar ninguno de los derechos que tenga sobre él en virtud de
este Contrato, así como a no divulgarlo, publicitarlo, ni ponerlo de ninguna otra manera a disposición de
otras personas, salvo sus empleados que necesariamente deban utilizarlo para el desarrollo de su
actividad.
La presente licencia de ALEXIA otorga al Cliente el uso de los accesos de Terminal Server que
aparecen recogidos en el Anexo III de la Oferta Económica.
El Cliente comprende y acepta que ALEXIA contiene información sobre la que existen derechos
exclusivos y se compromete a que, salvo que C&A le conceda autorización expresa y por escrito, no
proveerá o facilitará o de cualquier otro modo hará accesible ALEXIA y/o la documentación relacionada
con el mismo a cualquier otra persona, compañía, sociedad, organización bajo ningún motivo o razón.
Esta prohibición se hará extensiva a cualesquiera otras compañías, sociedades o personas jurídicas en
las que el Cliente pueda tener participación accionarial o de cualquier otro tipo.
El Cliente no recibe por virtud de este Contrato derecho de propiedad alguno sobre ALEXIA ni
sobre la infraestructura ni sobre los Productos Complementarios. En concreto, el Cliente no recibe
derecho alguno de propiedad intelectual o industrial o de cualquier otro tipo sobre ALEXIA.
Séptima. Derechos y obligaciones de C&A.
Cospa & Agilmic, S.L.U. Documento de Seguridad
158
i. Derechos
C&A tendrá derecho: (a) al acceso físico y lógico a los equipos ubicados en el Centro de
Datos y (b) a interrumpir los Servicios para acometer todas aquellas tareas que entienda
necesarias y/o convenientes con el fin de acometer mejoras y/o reestructuraciones en el
mismo así como para realizar operaciones de mantenimiento del Servicio. En este último
caso, C&A realizará sus máximos esfuerzos para notificar al Cliente y, con la antelación
razonable siempre que sea posible, de aquellos períodos de tiempo en los que se
interrumpiese el Servicio para que tales interrupciones afecten de forma mínima al Cliente.
ii. Obligaciones
C&A se compromete a realizar el máximo esfuerzo para mantener un nivel aceptable en el
cumplimiento de sus obligaciones contractuales sin perjuicio de que en algún momento no
pueda garantizar explícita o implícitamente la continuidad de los Servicios ante
circunstancias ajenas a su control.
C&A se compromete a prestar los Servicios de acuerdo con los términos establecidos en
este Contrato y sus Anexos y a realizar sus máximos esfuerzos para garantizar la prestación
de los Servicios de forma ininterrumpida las veinticuatro (24) horas del día durante todos
los días del año. C&A no será responsable de circunstancias o eventos que se encuentren
fuera de su exclusivo control, tales como la demora, la interrupción o el mal
funcionamiento de los Servicios atribuibles a terceros operadores o compañías de
servicios, falta de acceso a redes de terceros, actos u omisiones de las Autoridades Públicas
y situaciones de caso fortuito o fuerza mayor.
C&A garantiza que dispone y serán empleados en la prestación de los Servicios sistemas de
seguridad capaces de salvaguardar la integridad de los equipos, programas y datos que se
utilicen o sean resultado del mismo. C&A garantiza que utilizará personal idóneo, de
probada capacidad técnica.
C&A, sin perjuicio de los mecanismos de seguridad establecidos por ésta y el Centro de
Datos, no garantiza la ausencia de cualesquiera elementos ajenos que puedan producir
alteraciones en los equipos puestos a disposición del Cliente por C&A, donde se encuentra
alojado ALEXIA o en los documentos electrónicos y ficheros almacenados y/o transmitidos
desde/hasta el mismo. C&A declina expresamente cualquier responsabilidad/es en relación
con la introducción en los equipos y/o sistemas del Cliente y/o en los programas de
ordenador o materiales ajenos, que contengan una secuencia de instrucciones o
indicaciones que puedan ocasionar efectos nocivos al sistema informático del Cliente o de
terceros.
Octava. Derechos y obligaciones del Cliente.
i. Derechos
El Cliente tendrá los derechos establecidos en el presente Contrato y sus Anexos.
ii. Obligaciones
Cospa & Agilmic, S.L.U. Documento de Seguridad
159
a) No utilizar las aplicaciones de gestión utilizadas hasta la fecha por el Cliente desde el momento de
la implantación de ALEXIA. En caso de utilización, el Cliente exime a C&A de la obligación de
realizar un nuevo traspaso de datos y se abstendrá de reclamar la incorporación de nuevos datos
introducidos en las antiguas aplicaciones. En caso de que el Cliente precise un nuevo traspaso de
datos, enviará una solicitud formal a C&A quién enviará, a su vez, el presupuesto y plazos de
realización al Cliente para su aceptación.
b) Permitir el acceso del personal de C&A debidamente autorizado a la infraestructura y a los datos
en ella contenidos. Este acceso podrá realizarse sin previo aviso al Cliente y sin necesidad de
autorización expresa, más allá de la establecida en este Contrato para el perfeccionamiento y
cumplimiento del mismo.
Este acceso se realizará exclusivamente con el fin de realizar chequeos periódicos de ALEXIA y
comprobar su correcto funcionamiento, así como la solución de posibles problemas en la
configuración.
Si durante el acceso se detectara la necesidad de intervención en los datos del Cliente, con el fin
de cumplir con la Ley Orgánica 15/1999, de 13 de Diciembre, de Protección de Datos de Carácter
Personal (LOPD), se enviará previamente un comunicado a la persona establecida como
responsable del mantenimiento técnico del Centro, explicando la necesidad de realizar el acceso,
cuándo se realizará y quién lo llevará a cabo.
c) Establecer las medidas necesarias para proteger ALEXIA y los medios técnicos homologados por
C&A de usos no autorizados en virtud de los términos de este Contrato.
d) Utilizar ALEXIA según las indicaciones y especificaciones de C&A y de la documentación entregada
por C&A.
e) Disponer y respetar los tiempos establecidos para la instalación de ALEXIA, así como los tiempos
de formación establecidos en el Plan de Formación ALEXIA, evitando las interrupciones y/o
variaciones de fechas salvo por causa de fuerza mayor.
f) Facilitar el acceso a las aplicaciones (Servidor, red local del Cliente, etc.) necesarias para realizar la
formación, al personal de C&A debidamente autorizado.
g) En relación al Servicio de Cloud, el Cliente: deberá (a) proporcionar a C&A la colaboración
necesaria para la correcta prestación del servicio, obligándose a tal efecto, a facilitar los datos
técnicos o de cualquier otra índole que sean necesarios para la prestación del mismo (b) no
perturbar impedir, interferir, distorsionar o dañar los equipos, aplicaciones, sistemas y/o
instalaciones de C&A o de terceras partes; (c) observar todas las normas que C&A pueda
imponer sobre la utilización de su infraestructura y recursos así como las políticas y condiciones
de uso que forman parte de este Contrato o de las aplicaciones y Servicios Adicionales previstos
en este Contrato; (d) no utilizar el software, la infraestructura y demás elementos cuyo uso se
cede para la realización de actividades contrarias a las leyes, a la moral y al orden público, ni
con fines o efectos ilícitos, prohibidos, lesivos de derechos o que afecten a intereses de
terceros.
h) El Cliente asume la plena responsabilidad acerca de la exactitud y veracidad de los Datos y
contenidos alojados tanto en ALEXIA como en los Servicios y en los Productos Complementarios.
Asimismo, asegura que los mismos se encuentran en su legítima disponibilidad y que no incurren
en ninguna prohibición, siendo el único responsable, administrativo, penal o civil de los mismos.
C&A, por tanto, no es responsable por la naturaleza, calidad y legalidad de los datos o contenidos
incluidos en ALEXIA o en los Productos Complementarios y procederá a bloquear su acceso en los
supuestos establecidos en la Ley 34/2002 de 11 de julio, de Servicios de la Sociedad de la
Información y de Comercio Electrónico tan pronto le sea requerido en legal forma por
administración y/u órgano judicial competente. En este sentido, informará de inmediato al Cliente
Cospa & Agilmic, S.L.U. Documento de Seguridad
160
y le transmitirá la notificación u orden recibida, siempre que no se encuentre impedido por
la propia resolución o por la legislación de aplicación.
Cospa & Agilmic, S.L.U. Documento de Seguridad
161
Novena. Mantenimiento de ALEXIA.
En las cuotas descritas en el Anexo III, relativo al precio, se incluye expresamente un servicio permanente
de mantenimiento y asistencia técnica de ALEXIA, sometido a las siguientes cláusulas:
1. Servicios incluidos:
i. C&A ofrece la posibilidad de realizar la formación necesaria para el correcto uso de ALEXIA. En el
Anexo III se hace constar si ésta se incluye en la oferta. En caso de formaciones colectivas éstas se
realizarán en aula y fecha determinadas por C&A y el número de asistentes por Cliente será como
máximo de dos personas. Asimismo, C&A podrá ofertar sesiones de formación individual, bien en
el domicilio del Cliente o en sus propias instalaciones. Finalmente cabe la opción de contratar
sesiones de formación mediante un sistema de acceso remoto con la herramienta de comunicación
ISL. En este caso se hace constar que C&A dispone de la licencia original de uso. Cualquier
formación no especificada en el Anexo III, estará sujeta a las tarifas y condiciones establecidas por
C&A y publicadas en su página Web.
ii. Intervenciones para la conservación de ALEXIA objeto de este Contrato, que se realizarán siempre
dentro de las horas hábiles, según el calendario laboral de C&A, publicado en su Web.
iii. Servicio de resolución de consultas por teléfono, fax y/o correo electrónico dentro de las horas
hábiles, según el calendario laboral de C&A, publicado en su Web.
iv. Modificaciones de ALEXIA:
a) Para adaptarlas a nuevas exigencias legales publicadas exclusivamente en el Boletín Oficial del
Estado o en el Boletín Oficial de la correspondiente Comunidad Autónoma en el plazo de 30 días
hábiles desde su publicación, siempre y cuando sea posible su actualización y no sea
incompatible con el funcionamiento interno de ALEXIA.
b) Mejoras efectuadas a criterio de C&A En los casos que estas mejoras impliquen una
modificación sustancial de ALEXIA, C&A se reserva el derecho de establecer un cargo en
concepto de “Versión mejorada”.
v. Facilitar al legítimo representante del Cliente las contraseñas y códigos de acceso a la aplicación,
cuando por olvido o cambio repentino del personal, sea necesario.
vi. En el caso excepcional que la persona asignada por el Cliente finalice la relación laboral con el
mismo, de forma repentina, C&A proporcionará, sin ningún coste, y con un máximo de una vez al
año, una sesión de formación de dos horas a la persona que el Cliente designe. Quedan excluidos de
esta prestación los costes de desplazamiento.
vii. Asesorar al Cliente en todos aquellos aspectos que la flexibilidad de ALEXIA permita adaptarlo a las
necesidades y requisitos concretos del Cliente.
viii. Acceso a la zona restringida de la Web de C&A para acceder a la documentación adicional del
Programa objeto de este Contrato.
ix. Exportaciones de datos desde ALEXIA siempre que se trate de exportaciones requeridas por la
Comunidad Autónoma (CCAA) correspondiente, a través de sus organismos competentes y se
soliciten en un formato normalizado (por ejemplo XML, Excel, ASCII, TXT). Recibidos los formatos en
que deba realizarse la exportación, C&A dispondrá de una plazo de 30 días hábiles para incorporarla
en su aplicación. En ningún caso se realizarán exportaciones a un formato propietario.
Cospa & Agilmic, S.L.U. Documento de Seguridad
162
No obstante lo anterior, C&A podrá facturar las exportaciones de datos que le sean requeridas si no
cumplen los anteriores requisitos o no ha transcurrido un intervalo de seis meses desde la última
exportación realizada.
El mismo tratamiento descrito anteriormente, será de aplicación para las importaciones de datos
desde programas de las Comunidades Autónomas, a ALEXIA.
Entendiendo que lo detallado en este apartado hace referencia exclusivamente al programa de
gestión ALEXIA, objeto del presente Contrato y siempre que el programa de la correspondiente
CCAA permita el intercambio de datos.
2. Servicios no incluidos:
i. La corrección de errores imputables a la manipulación de ALEXIA por personal no autorizado
expresamente por C&A.
ii. Los trabajos necesarios para restablecer la situación anterior derivada de operaciones
incorrectas por parte del Cliente que ocasionen pérdidas de información, destrucción o
desorganización de ficheros.
iii. La corrección de anomalías imputables exclusivamente al ordenador utilizado para el acceso y
que, por tanto, no guarden ninguna relación de causalidad con ALEXIA o su infraestructura.
iv. La reparación de daños causados por virus o defectos de otros programas o sistemas operativos
no relacionados en este Contrato.
v. La reparación de daños causados por fallos de la corriente eléctrica o, en cualquier caso, por
interrupción de la alimentación eléctrica del Cliente.
vi. La adaptación de ALEXIA a las circunstancias particulares del Cliente.
vii. La formación del personal usuario de ALEXIA salvo en lo que se indica en el punto VI del
apartado 1, estipulación novena.
viii. El diseño de formatos específicos de listados, etiquetas o formularios que el diseñador que
incluye ALEXIA, permite hacer al usuario.
ix. El desplazamiento del personal de C&A a las dependencias del Cliente.
Décima. Aspectos medioambientales
Será responsabilidad del Cliente asegurarse que sus equipos y periféricos entre otros, estén instalados en
un espacio con las características medioambientales adecuadas que permitan el correcto funcionamiento,
mantenimiento y conservación de los equipos informáticos utilizados y que deberán ser respetados por el
Cliente a lo largo de la vida del presente Contrato.
Undécima. Protección de datos personales.
Los datos personales facilitados por el Cliente a los efectos de establecer y mantener la presente
prestación de servicios serán archivados en ficheros titularidad de C&A, con la única finalidad de prestar los
servicios, así como para proceder a su facturación y a informar al Cliente de las novedades comerciales.
C&A informa a los titulares de los mencionados datos que pueden ejercer los derechos de acceso
rectificación, cancelación y oposición en la siguiente dirección: calle Bravo Murillo, 377, 28020 de Madrid.
En función de la prestación de los distintos servicios incluidos en este Contrato y de lo que dispone la Ley
Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, las Partes acuerdan la
firma del Anexo II del presente Contrato. Las Partes responderán de sus obligaciones respectivas derivadas
del cumplimiento de la normativa de protección de datos personales, así recaerá exclusivamente sobre el
Cliente, la obligación de habilitar las medidas necesarias y disponibles en ALEXIA, a efectos de dar
cumplimiento a la normativa de protección de datos.
Cospa & Agilmic, S.L.U. Documento de Seguridad
163
Duodécima. Productos Complementarios.
El Cliente podrá contratar los Productos Complementarios, que se detallen en los Anexos a este Contrato y
que incluyen las características detalladas en los mismos. La contratación de los Productos
Complementarios implica la aceptación expresa de las condiciones de uso o licencia indicadas en cada caso
y que son establecidas por C&A de cada Producto Complementario.
El Cliente reconoce que el acceso a los Productos Complementarios no implica que ostente derecho de
explotación alguno sobre los mismos, más allá de aquellos necesarios para su disfrute en las condiciones
definidas en cada Anexo. El Cliente es el único responsable ante C&A, el titular de los Productos
Complementarios y terceros, de cualquier vulneración de tales derechos.
En el caso que para la prestación de los Productos Complementarios, C&A tuviera que acceder a datos
alojados en ficheros del Cliente, sería de aplicación lo estipulado en el Anexo II del presente Contrato.
Decimotercera. Servicio de Comunicaciones.
El Servicio de comunicaciones consistirá en el mantenimiento de la estructura tecnológica, que permite el
acceso a la información albergada a través de Internet, por parte de los Clientes usuarios de la aplicación
ALEXIA y que constituye la esencia del servicio prestado de comunicaciones.
Decimocuarta. Precio y facturación.
El precio y facturación de los servicios reflejados en el presente Contrato se encuentran definidos en el
Anexo III. Los precios podrán ser actualizados anualmente conforme al IPC anual.
La demora injustificada en el pago en el plazo acordado, facultará a C&A a aplicar un interés del 1,5%
mensual sobre el importe pendiente objeto de dicho retraso, salvo que hubiera transcurrido el plazo
previsto en la cláusula siguiente, en cuyo caso podrá resolver el Contrato de pleno derecho.
C&A en todo caso, está autorizada a ceder a terceros los derechos de cobro de las cantidades adeudadas
por el Cliente.
En el supuesto que el Cliente exceda los consumos de los Servicios especificados en este Contrato y en sus
Anexos, éste deberá reembolsar a C&A por los gastos en que éste hubiera incurrido como consecuencia de
dichos excesos.
Decimoquinta. Resolución anticipada y penalizaciones.
En el caso de que una de las Partes incumpliera cualquiera de las cláusulas pactadas o cualquiera de las
obligaciones nacidas del presente Contrato, la parte perjudicada deberá notificárselo fehacientemente a
la parte incumplidora, quién dispondrá de un plazo máximo de quince (15) días para subsanar el
incumplimiento. De no producirse tal subsanación en el plazo citado la parte perjudicada podrá resolver
el Contrato de pleno derecho, sin perjuicio de la indemnización por los daños y perjuicios que pudieran
corresponder, los cuales no podrán nunca superar la tercera parte de lo que falta pagar para cumplir el
Contrato.
La falta de pago parcial o total de las sumas adeudadas dará derecho a C&A, desde que dicha suma es
debida, a suspender la ejecución de sus obligaciones sin perjuicio del derecho a reclamar los daños y
perjuicios correspondientes. Pasados treinta días (30) de demora, C&A podrá dar por resuelto el Contrato
de pleno derecho sin perjuicio de la reclamación de daños y perjuicios que pudiera corresponder, según lo
descrito en el punto anterior, y sin obligación de restituir las sumas ya percibidas.
Cospa & Agilmic, S.L.U. Documento de Seguridad
164
C&A no asume responsabilidad alguna si, por caso fortuito o fuerza mayor, no pudiera cumplir
con cualquiera de las obligaciones materia del presente Contrato. Se consideran, a título de ejemplo,
entre éstos los siguientes actos:
• Terremotos o cualquier otra catástrofe natural.
• Otros siniestros.
• Fallos en la conexión a Internet.
• Actos y consecuencias de vandalismos y terrorismo.
• Huelgas, motines y paros.
• Actos de imprevisibles consecuencias debidamente justificados: guerras, sublevaciones, etc.
• Cualquier otra circunstancia que judicialmente y/o dentro de las prácticas habituales de
comercio, puedan tener esa consideración.
Decimosexta. Limitación de responsabilidad.
C&A no será responsable del mantenimiento de la estructura tecnológica, la interrupción o indebida
prestación de los servicios objeto del presente Contrato o de sus Anexos, como consecuencia de mal
funcionamiento de las redes a través de las cuales se prestan los mismos, y sobre cuya gestión no existe
control alguno por su parte.
El Cliente será el único responsable de implementar las medidas puestas a su disposición para
guardar la confidencialidad de los datos alojados en ALEXIA. C&A garantiza la realización semanal de tres
(3) de copias de seguridad de datos y repositorio de ficheros, automáticamente, que realiza la propia
infraestructura de servicio en diferentes días y renovadas semanalmente.
Decimoséptima. Régimen de Responsabilidad.
i. Régimen General
C&A responderá únicamente de los daños directos que sufra el Cliente y tan sólo cuando
hayan sido causados directamente y atribuibles a una acción dolosa o negligente de C&A.
C&A, quedará exonerada de cualquier tipo de responsabilidad frente al Cliente, sus
usuarios y terceros, en los supuestos en que las anomalías se deban a acciones u omisiones
directamente imputables al Cliente, a sus usuarios, contratistas, arrendatarios,
representantes, cesionarios, empleados o personal que dependa de él o esté a su servicio o
cualesquiera terceros así como de aquellas consecuencias directas o indirectas del mal uso
o manipulación indebida de los Servicios por personal ajeno al Cliente. En estos casos, C&A
no será responsable de los daños, pérdida de negocio, ingresos o beneficios, daño
emergente, lucro cesante o de oportunidades de negocio, de ahorro de gastos y de
desaparición o deterioro de datos.
C&A, no será en ningún caso responsable de: (a) los costes, multas, sanciones
indemnizaciones, cargos, daños u honorarios que se deriven como consecuencia del
incumplimiento por el Cliente de sus obligaciones; (b) el contenido, uso y publicación de las
informaciones y comunicaciones distribuidas a través de los servicios así como el uso y los
resultados obtenidos de los mismos. El Cliente es el único responsable de: (a) el uso que
realice de los servicios prestados; (b) el cumplimiento íntegro de cualquier normativa o
conducta que pudiera resultar aplicable.
Cospa & Agilmic, S.L.U. Documento de Seguridad
165
ii. Exoneración
C&A o el Centro de Datos no serán responsables de los problemas derivados de la falta de
acceso o de los problemas inherentes a la conectividad a Internet o a las redes de
electricidad cuando estas tuvieren su origen en causas ajenas a su control o a causas que
no hubieran podido ser previstas por las Partes o que aún siendo previsibles, C&A y el
Centro de datos haya realizado todos los esfuerzos razonables para evitarlas o que fueran
consideradas como casos fortuitos o de fuerza mayor.
C&A y el Centro de Datos, no intervienen en la creación, transmisión ni en la puesta a
disposición de la información, y no ejercen ninguna clase de control previo ni garantizan la
licitud, infalibilidad y utilidad de los contenidos transmitidos, difundidos, almacenados,
recibidos, obtenidos, puestos a disposición o accesibles a través o por medio de los
Servicios, declinando cualquier responsabilidad que de ello se pudiese derivar. El Cliente es
el único responsable frente a cualquier reclamación o acción legal, judicial o extrajudicial,
iniciada por terceras personas tanto contra el Cliente como contra C&A, relativa a la
infracción de derechos de terceros y/o de normativas aplicables que se deriven del
contenido, asumiendo el Cliente cuantos gastos, costes, indemnizaciones sean irrogadas a
C&A con motivo de tales reclamaciones o acciones legales.
iii. Limitación
La imposibilidad de uso de los servicios por parte del Cliente, por razones imputables a
C&A o el Centro de Datos, que tenga carácter recurrente y permanente en el tiempo sin
que, habiéndose comunicado fehacientemente a C&A, éste no haya habilitado una
solución en tiempo y forma, constituirá causa legítima para la resolución del Contrato.
Sin perjuicio de las exoneraciones y limitaciones de responsabilidad acordadas en la presente
cláusula, ambas Partes aceptan que cualquier indemnización que potencialmente se pudiera
derivar del incumplimiento de los Servicios, deberá necesariamente moderarse teniendo
como referencia, entre otros, los siguientes criterios: (a) la existencia de una relación
razonable entre la infraestructura y la retribución pactada; (b) el estado de la técnica en cada
momento y los usos y costumbres de las empresas que actúan en el sector; (c) el tipo y la
naturaleza de los Servicios contratados en relación con los riesgos inherentes a la actividad
empresarial del Cliente; (d) la toma por parte del Cliente de las precauciones necesarias para
eliminar y/o en su caso minorar los daños causados.
Decimoctava. Cesión.
Ninguna de las Partes podrá ceder a un tercero este Contrato ni cualquiera de los derechos u obligaciones
derivadas del mismo sin el consentimiento expreso de la otra Parte.
Como excepción, C&A podrá ceder los derechos derivados del presente Contrato, a favor de cualquier
sociedad de su mismo grupo empresarial cumpliendo, en todo caso, lo establecido en la legislación en
vigor en materia de protección de datos personales.
Decimonovena. Subcontratación del Servicio Cloud.
El Cliente conoce y acepta de forma expresa que los Servicios y la ejecución de cualesquiera de sus
obligaciones derivadas del presente Contrato son subcontratados por C&A al Centro de Datos seleccionado
por C&A y basado en criterios de sostenibilidad en el largo plazo, antecedentes en cumplimiento de niveles
de servicio, seguridad de las instalaciones, robustez de la infraestructura, fiabilidad de las soluciones y
otras variables analizadas por C&A para su selección en el momento de la contratación. Ello sin perjuicio,
Cospa & Agilmic, S.L.U. Documento de Seguridad
166
que C&A pueda cambiar de proveedor unilateralmente, previo aviso al Cliente, si estos criterios u otros
determinados por C&A, cambiasen en cualquier momento. En cumplimiento de lo establecido en el
artículo 21 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de
desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal,
C&A se compromete a la firma de un contrato con la entidad que gestione el Centro de Datos, a efectos de
dar cumplimiento de lo exigible en la normativa de protección de datos personales.
En cualquier caso, C&A responderá ante el Cliente dentro de las obligaciones recogidas en el presente
Contrato.
Vigésima. Acuerdo de Nivel de Servicio (ANS) del Cloud.
Se define en este apartado los niveles de calidad de Servicio en concepto de Disponibilidad del Servicio y
Acceso así como Tiempos de Respuesta ante incidencias.
i. Disponibilidad del Servicio y Acceso
Se define como la Disponibilidad de la Infraestructura y Acceso a la misma, como la capacidad de
transmitir y recibir datos a través de las líneas de comunicación definidas por C&A y aportadas por el
Centro de datos (ver descripción en la estipulación vigesimoprimera de este Contrato y las
condiciones que se recogen en el Anexo III correspondiente a la Oferta Económica).
De acuerdo a las condiciones de conectividad asumidas por el Centro de datos, se establece el
siguiente nivel de servicio en cuanto a disponibilidad trimestral de los Servicios prestados al Cliente.
Disponibilidad del Servicio 99.9%
Disponibilidad de Acceso 99.9%
No computarán para este cálculo de la disponibilidad de los Servicios:
• Causas ajenas al control de C&A, del Centro de datos y de fuerza mayor.
• Averías causadas por usos incorrectos por parte del Cliente del Servicio.
• Paradas del Servicio programadas para mantenimiento.
• Imposibilidad de restablecimiento del Servicio por motivos imputables al Cliente, esto es,
causas achacables a la manipulación directa de las aplicaciones que redunden en su incorrecto
funcionamiento.
• Mal funcionamiento o bajo rendimiento de la infraestructura que esté utilizando el Cliente,
para conectarse al Servicio contratado a C&A.
ii. Tiempo de Respuesta ante incidencias
Se define el Tiempo de Respuesta ante Incidencias el tiempo transcurrido entre la Comunicación de
Incidencia por parte del Centro o personal autorizado por éste y comunicado previamente a C&A,
siguiendo el procedimiento estipulado para dicha comunicación, y el envío por parte de C&A de una
Comunicación de Recepción de la Incidencia, informando sobre el inicio de los trabajos destinados a
diagnosticar y/o solventar la incidencia.
Las incidencias se clasifican de la siguiente forma:
1. Críticas: Bajo esta clasificación se recogen todas aquellas incidencias que impliquen una
Cospa & Agilmic, S.L.U. Documento de Seguridad
167
PARADA TOTAL del Servicio o la imposibilidad de acceso por causas achacables a C&A o el Centro de
datos.
2. No Críticas: Bajo esta clasificación se recogen todas aquellas incidencias que signifiquen una
PARADA PARCIAL del Servicio.
C&A se compromete a cumplir los siguientes niveles de calidad, en función de la clasificación de la
incidencia y respecto al Tiempo de Respuesta ante Incidencias:
Tiempo Medio Respuesta ante Incidencias Críticas: 1 hora
Tiempo Medio Respuesta ante Incidencias No Críticas: 3
horas
No se tendrán en cuenta los tiempos de respuesta ante incidencias planteadas en los siguientes
casos:
• Comunicaciones recibidas mientras se está solventando un problema de carácter general
relativo a otro punto de los especificados en el presente ANS.
• Aumento del tiempo de respuesta debido a causas de fuerza mayor y/o retrasos no imputables
a C&A.
• Peticiones tramitadas por contactos no registrados por C&A como autorizados por el Cliente.
La resolución de incidencias asociadas a los problemas de funcionamiento del servicio con los
equipos o dispositivos desde los que se está conectando el Cliente a través de Terminal Server,
quedan limitadas a los equipos y dispositivos vinculados a Alexia en el propio Centro.
iii. Horarios
a) Atención telefónica al Cliente: horario laboral de C&A, salvo en períodos de evaluación que se
ampliarán los horarios habituales de servicio de la Consultoría Técnica de Educación (CTE), para
atender las necesidades de los Clientes en estos periodos críticos.
b) El Servicio será prestado por C&A en un esquema 5x8 salvo, al igual que en el punto anterior,
en los periodos de evaluación, que se prestará en un horario extendido. Ello, con independencia de
que el soporte de Acens Technologies, S.A. a la infraestructura Cloud de C&A es de 24x7x365.
Vigesimoprimera. Definiciones.
Las definiciones de las características y especificaciones técnicas que aparecen en la Oferta Económica,
son las siguientes:
a. Ocupación
Se define como ocupación a la suma del espacio requerido por la base de datos, el back up más el
repositorio de ficheros del Centro.
b. Sesiones Concurrentes
Se define sesiones concurrentes de Terminal Server al número de accesos simultáneos que puede
realizar cada usuario del Cliente a la aplicación Windows del Servicio. Si el Cliente necesitara una mayor
concurrencia deberá contratarlo como un servicio complementario. No computará en este cálculo los
accesos al servicio WEB que será el realmente utilizado por profesores, familiares y alumnos.
c. Transferencia Anual de Datos
Se define como transferencia anual de datos al volumen de datos transferidos bi-direccionalmente a
Cospa & Agilmic, S.L.U. Documento de Seguridad
168
través de las líneas de comunicación entre los equipos que alojan el Servicio contratado a C&A por el
Cliente y los usuarios del mismo.
d. Excesos
Por exceso se entenderá cualquier uso del Servicio que supere los límites recogidos en la Oferta
Económica.
Vigesimosegunda. Descripción del Servicio.
Características del Servicio y Acceso.
i. Cobertura de la Solución: En ningún momento se limitará la transferencia, ancho de banda,
sesiones concurrentes o espacio ocupado o necesario por el Cliente. No obstante, el Servicio
contratado estará definido por unos límites máximos que se considerarán razonables, en base a
la dimensión de los centros, sin perjuicio de que lo que exceda dichos límites sea facturado.
ii. Soporte de Acens a la infraestructura de C&A: Esquema 24x7x365.
iii. Copias de seguridad: Mantenimiento de 3 copias de seguridad de datos y repositorio. Dichas
copias se realizarán en diferentes días y serán renovadas semanalmente.
iv. Alta Disponibilidad y redundancia de equipos y servicios críticos: Se garantiza el
funcionamiento de las BBDD a través de un Cluster de servidores SQL Server así como el
almacenamiento de la información en cabinas con un nivel de seguridad RAID 5
implementado. Todos los dispositivos de red que forman parte de la infraestructura que
garantiza el Servicio se encuentran redundados en alta disponibilidad.
v. Trafico de Internet: Se garantiza la disponibilidad del ancho de banda sin límite bajo demanda
y sin necesidad de aprobación previa por C&A que sea necesario para el funcionamiento
óptimo del Servicio bajo cualquier circunstancia. Todo ello sin perjuicio que los excesos sobre lo
contratado sea facturado adicionalmente.
vi. Seguridad Lógica: A la seguridad ya establecida por el Centro de datos, se amplía
adicionalmente la misma, con la presencia de antivirus McAfee, en todos los equipos.
vii. Seguridad de Acceso: Los datos transferidos en los accesos WEB se encuentran cifrados
mediante comunicación HTTPS. Los accesos a la aplicación Windows se realiza a través de
Terminal Server.
Se utilizarán adicionalmente, Firewalls dedicados destinados a garantizar el bloqueo de accesos
no autorizados.
viii. Bloqueo de sesión por inactividad: Siguiendo los estándares internacionales de seguridad de la
información y atendiendo a la tipología de datos accesibles en ALEXIA, en el caso de que la
plataforma esté abierta y se detecte una inactividad del usuario autenticado por un período
igual a los 15 minutos, automáticamente se bloqueará la sesión siendo necesaria que el
usuario, con el fin de restablecerla, vuelva a introducir los datos de identificación en ALEXIA.
ix. Control de Rendimiento: Con el fin de garantizar el rendimiento óptimo de todos los accesos al
Servicio, se dispone de dispositivos físicos dedicados que balancearán la carga entre los
diferentes equipos de la infraestructura.
x. Aspectos de la seguridad física: C&A se compromete a alojar el Servicio en el Centro de datos,
en un espacio acondicionado para cumplir con las más exigentes medidas de disponibilidad y
seguridad:
Cospa & Agilmic, S.L.U. Documento de Seguridad
169
• Controles de acceso a equipos físicos: Detectores de presencia y proximidad, circuito
cerrado de televisión, sensores biométricos de acceso, entre otros.
• Medios físicos de seguridad: Sistemas de protección de incendios y detección de fugas de
agua o combustible, centralizados y tele-gestionados.
• Alimentación eléctrica: Disponibilidad eléctrica asegurada por redundancia de equipos
mediante SAIs y grupos electrógenos, añadiendo elementos alternativos como sistemas by-
pass, transferencias de cargas críticas sin cortes de tensión, aislamiento galvánico, red
equipotencial de tierra, etc.
• Climatización controlada: mediante equipos autónomos que aseguran niveles de
temperatura y humedad óptimas para el funcionamiento de la infraestructura.
• Monitorización y vigilancia permanente: Sistema de gestión del edificio (BMS) que
monitoriza de forma centralizada la situación y estado de la infraestructura con sistema de
alarmas: centro de transformación, grupos electrógenos, alimentación ininterrumpida,
distribución eléctrica, climatización, control de incendios, humedad, apertura de puertas,
etc.
Vigesimotercera. Nulidad de cláusulas.
Continuará siendo válido el Contrato y sus Anexos y seguirá teniendo los mismos efectos entre las Partes,
aunque se dé el supuesto en que resultará nula o inválida o dejará de tener efectos alguna o algunas de sus
cláusulas, excepto que el contenido contractual resultante posteriormente a la anulación fuera
manifiestamente abusivo para una de las Partes, o no se hubiera celebrado el Contrato sin la/las
cláusula/as nula/s o anulada/s.
Vigesimocuarta. Anexos.
Los Anexos referenciados en el presente Contrato forman parte indivisible del mismo, así como cualquier
otro que pudiera firmarse posteriormente por las Partes y que estuviera relacionado con el mismo.
Vigesimoquinta. Comunicaciones.
Cualquier comunicación relacionada con el cumplimiento del presente Contrato o su modificación, se
realizará por escrito y se enviará por burofax a las Partes, a la atención de las personas que figuran a
continuación:
Por C&A:
Por el Cliente:
Cospa-Agilmic, S.L.U.
D. José Luis Ruiz Aguilar
Bravo Murillo, 377
28020 - Madrid
COLEGIO EJEMPLO
D./Dña. Director del centro
C/Bravo Murillo, 377
28020 - MADRID
Cualquier notificación relacionada con el uso de ALEXIA, con los Servicios o con los Productos
Complementarios, se realizará a través de correo electrónico de la Consultoría Técnica de Educación (CTE)
de C&A ([email protected]) o a través del Teléfono de Atención al Cliente 902 013 800.
Los avisos relativos a incidencias globales o labores de mantenimiento que vayan a iniciarse por C&A y que
supongan, una interrupción del Servicio, serán comunicados a las direcciones de correo que aparecen en el
anexo IV, desde la dirección de correo de C&A, [email protected]. Esta cuenta de correo no
admite respuesta.
Cospa & Agilmic, S.L.U. Documento de Seguridad
170
Vigesimosexta. Legislación aplicable y jurisdicción competente.
El presente Contrato se interpretará según las Leyes Españolas y se someterá a la jurisdicción de los
Tribunales de la ciudad de Madrid.
El Proveedor El Cliente
Cospa-Agilmic, S.L.U. COLEGIO EJEMPLO
D. José Luis Ruiz Aguilar D./Dña. Director del centro
Cospa & Agilmic, S.L.U. Documento de Seguridad
171
ANEXO XIV
LOPD en ALEXIA
Introducción
Cualquier Centro educativo situado en el territorio español debe gestionar los datos de los
alumnos, familias y personal según la Ley Orgánica de Protección de Datos (en adelante LOPD), que en
su Artículo 1 define su objetivo como el de garantizar y proteger, en lo que concierne al tratamiento de los
datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y
especialmente de su honor e intimidad personal y familiar.
Las garantías de la LOPD y demás normativas de desarrollo, son únicamente exigibles para los
datos de personas físicas, por lo que este manual hace referencia únicamente a las medidas de
seguridad a tomar en relación a datos de alumnos, familiares y personal del Centro.
El Real Decreto 1720/2007, de 21 de Diciembre, por el que se aprueba el Reglamento de
Desarrollo de la Ley Orgánica 15/1999, del 13 de diciembre (RLOPD), como su nombre indica, desarrolla
la LOPD, tratando, entre otros aspectos las medidas de seguridad aplicables a los tratamientos de datos
personales. Este manual tiene también como objetivo dar cumplimiento a la Disposición Adicional Única
del RLOPD.
Los datos personales tratados desde ALEXIA y a los que por tanto, les son de aplicación las
garantías establecidas tanto de la LOPD como del RLOPD son la información relativa a alumnos,
familiares y personal del Centro, así como, según las funcionalidades de Alexia, aquellos datos que
pueden ser tratados por el Centro en el marco de sus actividades educativas.
La Suite Educativa Alexia, en base a esta legislación, permite otorgar distintos permisos y niveles
de LOPD para el acceso a los datos según el usuario sea un profesor, padre, alumno o personal de
administración y servicios. Cada Centro educativo podrá determinar qué permisos y niveles concede a
cada perfil.
Nota: Si usted lo desea puede acceder a la LOPD y al RLOPD.
Cospa & Agilmic, S.L.U. Documento de Seguridad
172
Objetivos
A lo largo de este manual encontrará las herramientas necesarias para cubrir los siguientes
objetivos:
1. Definir los conceptos de rol, perfil y permisos, usuario.
2. Definir los distintos perfiles y roles y asignarles sus permisos.
3. Crear un nuevo usuario concediéndole un rol, perfil y permisos determinados.
4. Distinguir los niveles de acceso a los datos por usuario según su nivel de LOPD.
1. Niveles de seguridad
El artículo 80 del RLOPD define tres niveles de seguridad en función de la categoría de datos
tratados: básico, medio y alto.
En ALEXIA es posible tratar datos que exigen los tres niveles de seguridad previstos, por este
motivo en el presente manual se expone la forma de aplicar las medidas de seguridad que corresponden
a cada tipo de datos.
De acuerdo a los datos que pueden incorporarse en ALEXIA, puede establecerse la siguiente
tipología de datos:
• Los datos exclusivamente identificativos de personas físicas, (por ejemplo: nombre, dirección
postal o electrónica, teléfono, datos bancarios, fotografías, etc…), deberán aplicar las medidas
de seguridad de Nivel Básico.
• Los datos que ofrezcan una definición de las características o de la personalidad y que
permitan evaluar determinados aspectos de dicha personalidad o del comportamiento (por
ejemplo la información académica), deberán aplicar las medidas de Nivel Medio.
• Por último, los datos, especialmente protegidos, deberán aplicar la medidas de Nivel Alto,
previstas en el RLOPD (por ejemplo informes psicopedagógicos, informes médicos o datos de
religión)
ALEXIA permite al Centro la administración de múltiples campos (más allá de los incluidos en la
Cospa & Agilmic, S.L.U. Documento de Seguridad
173
configuración inicial del programa), así como incluir cualquier tipo de datos en los campos libres de
información. En relación a esta disponibilidad del Centro, éste debe conocer el nivel de seguridad de cada
tipo de dato que pretenda incorporar en ALEXIA, aplicando las medidas de seguridad que en su caso
correspondan. Así mismo, el Centro debe conocer y aplicar los principios básicos establecidos en la
normativa de protección de datos y que deben regir el tratamiento de cualquier información relativa a
alumnos, familiares y personal del Centro.
Este manual se limita a detallar en qué forma puede darse cumplimiento a las medidas
establecidas en el RLOPD, únicamente en relación a al tratamiento de datos que puede llevarse a cabo
desde ALEXIA. En todo caso el Centro además de activar las medidas de seguridad aquí detalladas,
deberá implementar las medidas de seguridad exigibles fuera del tratamiento de datos realizado desde
ALEXIA.
1.1. Nivel de acceso
El nivel de LOPD es particular a cada usuario, independientemente de los perfiles a los que esté
asociado.
Los perfiles habilitan a los usuarios a acceder a determinadas pantallas o acciones, el nivel de
LOPD restringirá ciertos datos de esas pantallas o acciones.
1.2. Los niveles de LOPD
El objetivo principal de la LOPD es el de regular:
• El tratamiento de datos y ficheros de carácter personal, independientemente del soporte en el
cual sean tratados.
• Los derechos de los ciudadanos sobre sus datos.
• Las obligaciones de aquellos que almacenan y tratan dichos datos.
Con Alexia el Centro escolar gestionará gran cantidad de datos bajo la protección legislada por
la LOPD contemplando los 3 niveles de protección:
Cospa & Agilmic, S.L.U. Documento de Seguridad
174
• Alto.
• Medio.
• Básico.
Como cada Centro educativo incluye en ALEXIA los datos que estima necesarios, la aplicación
se limita a poner las herramientas para que éste cumpla con el RLOPD. La implementación efectiva de
los niveles de seguridad, dependerá exclusivamente del Centro que deberá estar debidamente asesorado
en relación al nivel de seguridad aplicable en cada caso.
NOTA: C&A ofrece su servicio de asesoramiento en todo lo referente a LOPD, por profesionales
debidamente certificados. Para mayor información consulte el espacio "Asesoría fiscal/contable \
Servicios" de http://www.cospa-agilmic.com
1.3. Determinar niveles de acceso
La normativa de protección de datos obliga a conceder a las personas con acceso a datos,
únicamente aquellos permisos necesarios para dar cometido a sus funciones laborales, así, será el propio
Centro quien decide otorgar a cada usuario su nivel de LOPD de acceso a la información.
Alexia, por defecto, concede a cada usuario un nivel básico, pero en todo momento el Centro
educativo puede aumentarlo de acuerdo a las necesidades concretas de cada usuario.
Así, dependiendo del nivel que se le haya concedido a un usuario, accederá a una información u otra.
Sirva de ejemplo el Centro C&A, con 4 roles y 14 perfiles. En el siguiente esquema mostramos los
distintos niveles de LOPD que la dirección del Centro ha decidido otorgar a cada usuario. En este caso el
Centro C&A ha decidido que todos los perfiles tengan el mismo nivel de LOPD. Pero podríamos encontrar
la situación de que dentro de un mismo perfil, por ejemplo, monitor de comedor, exista un usuario al que
le queremos otorgar un nivel de LOPD básico (Monitor A) y otro con nivel de LOPD medio (Monitor B) por
su función dentro del comedor escolar o por cualquier otro motivo.
Cospa & Agilmic, S.L.U. Documento de Seguridad
175
1.4. Proceso de determinación de niveles de acceso
Alexia concede por defecto un nivel de LOPD básico a todos los usuarios del colectivo escolar.
Pero también permite otorgar otro nivel de LOPD si el Centro lo considera necesario.
A continuación se muestra la ruta que hay que seguir:
Utilidades\Seguridad\Usuarios\Elección de un usuario\Rol\Editar\Nivel de LOPD
Cospa & Agilmic, S.L.U. Documento de Seguridad
176
1.5. Consecuencias del nivel de LOPD
Los usuarios tendrán acceso a determinadas acciones y pantallas según los perfiles asociados.
Una vez acceda a la información, por ejemplo la ficha del alumno, se limitará el acceso a
determinadas informaciones en base al nivel de LOPD de dicho usuario.
Por ejemplo, un usuario con nivel LOPD básico, en la ficha del alumno no tendrá acceso a datos
médicos o de creencia religiosa.
Otro ejemplo son los listados. El usuario tiene el permiso de hacer listados de alumnos, y en el
modelo elegido constan datos de nivel superior al que dicho usuario tiene asignado. En ese caso, Alexia
imprimirá el listado con esos datos en blanco.
Otras afectaciones están relacionadas a los datos libres y al documentador. Cuando se
introducen tanto los datos libres como los archivos del documentador se debe especificar el nivel de
LOPD a que están sujetos.
Por tanto, los usuarios con nivel de LOPD inferior al requerido, no tienen acceso a determinadas
informaciones.
Cospa & Agilmic, S.L.U. Documento de Seguridad
177
Sirva de ejemplo el caso en que en la ficha del alumno se haya incluido un informe psicológico. A
ese documento se le indica nivel alto para que únicamente accedan los usuarios autorizados
independientemente que en su perfil tengan acceso a la ficha del alumno.
2. Asignación de permisos
2.1. Usuarios, roles, perfiles y permisos
A continuación se ofrece una breve definición de cada uno de los términos más significativos
sobre el tema que ocupa este manual.
• Rol: cada uno de los 4 tipos de actores que intervienen en la vida de un Centro educativo.
• Perfil: conjunto de permisos relacionados con un rol.
• Permiso: posibilidad de acceder a determinadas acciones o informaciones.
• Usuario: cada una de las personas con clave de acceso a la suite educativa Alexia.
• Administrador: persona responsable de administrar la suite educativa Alexia en el Centro
educativo.
• Supervisor: persona responsable de administrar la suite educativa Alexia de la institución
educativa, cuya tarea principal es la de realizar tareas de configuración.
2.1.1 Definición de usuarios, roles, perfiles y permisos
Dentro de un Centro educativo podemos encontrar los siguientes grupos de personas según
sean sus roles:
• Administrador.
• Empleados.
• Padres.
• Alumnos.
Cada uno de estos roles a su vez puede tener un perfil distinto. Si nos centramos por ejemplo en
el rol de empleado éste puede tener el perfil de un profesor académico, de un monitor de actividades
Cospa & Agilmic, S.L.U. Documento de Seguridad
178
extraescolares, de una recepcionista, etc.
A cada perfil se le podrá otorgar unos permisos diferentes. Con dichos permisos los usuarios
podrán acceder a unas u otras acciones. Los permisos y los niveles de LOPD, que más adelante
explicaremos, son independientes pero funcionan en paralelo.
Un mismo usuario puede pertenecer a más de un perfil (por ejemplo profesor y secretario). En ese
caso los permisos serán la suma de los dos perfiles.
A modo de ejemplo mostramos un esquema del Centro C&A que tiene 4 roles y 14 perfiles:
2.2. Creación de un perfil
Para la creación de un perfil el usuario deberá seguir la siguiente ruta:
Utilidades\Seguridad\Perfiles
Lo primero por hacer es asignar un rol al nuevo perfil y darle un nombre que sea descriptivo.
Cospa & Agilmic, S.L.U. Documento de Seguridad
179
En la carpeta ‘Permisos’ debemos seleccionar aquellos que se atribuyen al nuevo perfil.
Para buscar estos permisos podemos filtrarlos con la ayuda de la aplicación.
Existen permisos comunes a los 4 roles y otros específicos a un rol determinado. Por ejemplo,
"Ver la agenda" es un permiso para los 4 roles; "Matricular alumnos" es un permiso exclusivo al rol de
empleado.
Cospa & Agilmic, S.L.U. Documento de Seguridad
180
2.3. Creación masiva de usuarios
Alexia permite la creación colectiva de nuevos usuarios y al mismo tiempo la asignación de un
perfil.
Para ello el usuario encargado de esta tarea deberá recorrer la siguiente ruta:
Utilidades\Seguridad\Creación de usuario
Únicamente se pueden crear usuarios a partir de personas que todavía no tienen código de
acceso pero ya están registradas en Alexia.
2.4. Cambio individual de perfil
El administrador de Alexia puede encontrarse en la situación de tener que otorgar o eliminar un
perfil a un usuario concreto.
Cospa & Agilmic, S.L.U. Documento de Seguridad
181
Para ello deberá recorrer la siguiente ruta:
Utilidades\Seguridad\Usuarios
Desde la ficha del usuario podrá definir el/los perfil/es que tendrá ese usuario concreto, tal como
muestra la siguiente figura:
En el caso que muestra el ejemplo, al usuario, además del perfil "Secretaría" se le otorgará el
perfil definido como "RRHH".
3. Código de acceso o password
3.1. Nomenclatura de las claves de acceso
Alexia define las siguientes claves de acceso:
• Código de usuario, o username, código que reconoce al usuario.
Cospa & Agilmic, S.L.U. Documento de Seguridad
182
• Código de acceso, o password, contraseña con la que el usuario accede a Alexia.
3.2. Entrega de códigos
En el momento en que el usuario es dado de alta en Alexia, se le asignará automáticamente una
clave de acceso, basada en un algoritmo que garantiza la confidencialidad de las mismas. Es por ello que
el administrador de Alexia o el encargado de dar de alta en el sistema a los demás miembros de la
comunidad educativa, debe definir desde el primer momento y mantener actualizados los campos del
correo electrónico y/o teléfono móvil con el fin de poder notificar sus claves de acceso desde el primer
momento.
3.3. Notificación de códigos
Desde el espacio "Mantenimiento de usuarios", el administrador de Alexia podrá realizar las
siguientes acciones:
• Generar password: genera un nuevo password y envío de una notificación al usuario al correo
electrónico y/o teléfono móvil que tenga asignado en su ficha personal. Opción recomendada en
Cospa & Agilmic, S.L.U. Documento de Seguridad
183
caso de pérdida de contraseñas.
• Enviar el password: envía el password del usuario a través de una notificación (correo
electrónico y/o al teléfono móvil), sin generar uno nuevo. Opción recomendada en caso de olvido
de contraseñas.
Nota: Con la opción HD puede reproducir el vídeo en alta calidad.
Nota: Si no puede visualizar el vídeo, refresque la pantalla pulsando F5.
3.4. Notificación masiva
De la misma manera que el usuario podrá enviar a quienes lo soliciten su password de forma
Cospa & Agilmic, S.L.U. Documento de Seguridad
184
individual, Alexia ofrece la posibilidad de realizar una notificación de forma masiva, garantizando en todo
caso la confidencialidad de las claves de acceso individuales generadas.
Para ello el administrador deberá recorrer la siguiente ruta:
"Utilidades\Seguridad\Notificar usuarios"
En primer lugar deberá elegir a qué rol pertenecen los usuarios a quienes se les enviará la
notificación.
Con el habitual filtro, podrá localizar con facilidad a dichos usuarios.
Cospa & Agilmic, S.L.U. Documento de Seguridad
185
Después de realizar el filtro, Alexia ofrece un listado de usuarios tal como muestra la siguiente
figura. En ella, el administrador deberá seleccionar los usuarios a quienes se realizará la notificación
Cospa & Agilmic, S.L.U. Documento de Seguridad
186
Al pulsar sobre el botón "Siguiente" Alexia ofrecerá una relación del nombre del destinatario
asignado a cada usuario. Esta pantalla es muy útil para que el administrador pueda comprobar que todos
los usuarios tienen asignados los datos de la persona quien corresponda. En el caso de los alumnos que
no tengan teléfono móvil y/o correo electrónico C&A aconseja que las notificaciones sobre el password le
sean enviadas a su primer tutor legal. En cualquier caso el Centro deberá aplicar la regulación prevista
para el tratamiento de datos de menores de 14 años, de acuerdo a lo establecido en el artículo 13 del
RLOPD, "Consentimiento para el tratamiento de datos de menores de edad".
Además, el administrador podrá acabar de definir a qué usuarios finalmente, les enviará la
correspondiente notificación.
Cospa & Agilmic, S.L.U. Documento de Seguridad
187
Al pulsar sobre el botón "Siguiente", Alexia mostrará una pantalla como la siguiente imagen, en
la que el Administrador podrá decidir por qué canales enviará la notificación. Además podrá definir una
breve descripción para cada canal a través del lápiz editor.
Cospa & Agilmic, S.L.U. Documento de Seguridad
188
Ver puntos 3.6 y 3.7 de este manual.
3.5. Identificación y autentificación
El sistema de identificación y autentificación es distinto en Alexia servidor que en Alexia cloud.
En el primero el usuario accede directamente a Alexia, mientras que en el segundo se debe validar
previamente a la plataforma que aloja el servicio. Es por ello que en este apartado es importante que el
lector tenga claro en todo momento a cuál de los dos se está refiriendo la descripción del manual.
3.5.1 Alexia Servidor
Alexia está alojada en un servidor del Centro. La validación se realiza directamente en Alexia y
su supervisor, desde la ficha "Institución", podrá definir:
• El número máximo de sesiones que puede tener un usuario de forma simultánea. (Nota: el valor
0 significa que Alexia no llevará un control sobre el número de sesiones que puede tener
abiertas un usuario al mismo tiempo. El valor 1 significa que un usuario tan sólo puede tener una
sesión abierta de forma simultánea).
• El tiempo en que una sesión inactiva tardará en cerrarse de forma automática.
• El tiempo que transcurrirá en que el sistema obligue al usuario, por cuestiones de seguridad, a
cambiar su contraseña. Este tiempo no podrá superar los 365 días.
• La longitud mínima que debe tener la contraseña para que sea válida, con un mínimo de 6
caracteres.
• El número máximo de veces que el usuario podrá intentar escribir su contraseña.
• El tiempo en que el sistema quedará bloqueado para el usuario que haya escrito la contraseña
de forma errónea más veces de las indicadas en el campo "Intentos de acceso permitidos"
Cospa & Agilmic, S.L.U. Documento de Seguridad
189
3.5.2 Alexia Cloud
Antes de acceder a Alexia, el usuario deberá validarse en la plataforma cloud. Ésta tiene sus
propias características definidas por C&A:
• El tiempo en que una sesión inactiva tardará en cerrarse de forma automática. En Alexia Cloud
será de 15 minutos, dado que éste, por definición, es el tiempo máximo del servicio como
medida preventiva de seguridad de acceso a los datos por parte de terceros, en caso que el
usuario se ausente.
• El tiempo que transcurrirá en que el sistema obligue al usuario, por cuestiones de seguridad, a
cambiar su contraseña. Este tiempo será de 90 días, tiempo máximo del servicio por definición.
• La longitud mínima que debe tener la contraseña para que sea válida. Este valor es de 8
caracteres.
Cospa & Agilmic, S.L.U. Documento de Seguridad
190
• El número máximo de veces que el usuario podrá intentar escribir su contraseña. Dicho valor
será de 5.
3.6 Envío de correos electrónicos
El usuario debe recordar que, para poder enviar mensajes debe tener configurada la ficha del
Centro.
Para la configuración del envío a través de correos electrónicos el usuario deberá recorrer la
siguiente ruta:
"Archivo\Definiciones\Centro"
Cospa & Agilmic, S.L.U. Documento de Seguridad
191
En la carpeta "Correo electrónico" el usuario deberá introducir los datos según corresponda.
Nota: el único dato que no varía es "Puerto: 25".
3.7 Envío de SMS
Para el envío de SMS no es necesario que el usuario realice ningún tipo de configuración.
4. El servicio cloud
4.1. Seguridad del servicio
Cospa&Agilmic pone a disposición de los clientes "Alexia como servicio" (modalidad SaaS). La
aplicación no estará instalada físicamente en el Centro educativo, sino que el cliente podrá acceder a
Alexia a través de internet desde cualquier dispositivo que cumpla con los requisitos exigidos por
Cospa&Agilmic para dicho acceso.
Para el alojamiento de Alexia, Cospa&Agilmic ha contratado el servicio de Cloud a Acens, uno
de los Data Center de mayor reconocimiento en España.
El modelo de Cloud contratado es "Cloud Privado", lo que garantiza que la infraestructura es
utilizada única y exclusivamente por Clientes de Cospa&Agilmic.
El acceso físico a dicha infraestructura se encuentra controlado mediante detectores de presencia,
circuitos cerrados de televisión y sensores biométricos.
Se asegura la alimentación ininterrumpida de corriente así como la existencia de medidas de
seguridad ante incendios, fugas, etcétera, y el mantenimiento de las condiciones óptimas de humedad y
temperatura.
Para asegurar la máxima disponibilidad del servicio, todos los dispositivos críticos se encuentran
redundados (servidores, switches, firewalls, cabinas de datos, etc.).
Cospa & Agilmic, S.L.U. Documento de Seguridad
192
Todos los equipos se encuentran protegidos mediante sistemas actualizados de antivirus.
Los accesos al servicio de Alexia se realizan a través de sistemas de "firewall" que garantizan la
máxima seguridad.
El sistema detecta períodos de inactividad del servicio y establece como medida de protección el
cierre de las sesiones que superaron el tiempo de inactividad máximo establecido (ver punto 3.5.
Identificación y autentificación).
4.2. Seguridad de la información
Cospa&Agilmic mantiene con Acens (prestador del servicio de Cloud) una relación contractual
cuyas cláusulas garantizan el cumplimiento de la normativa de protección de datos personales, y evita
que Acens pueda subcontratar el servicio total o parcialmente.
La infraestructura que aloja el servicio y los datos de Alexia, se encuentra situada en España,
concretamente en Alcobendas (Madrid); para mayor información puede acceder a la siguiente dirección:
http://www.acens.com/corporativo/infraestructura/datacenter
El siguiente diagrama representa la relación entre todos los agentes implicados desde la
perspectiva del cumplimiento de la normativa de protección de datos:
Cospa & Agilmic, S.L.U. Documento de Seguridad
193
El Centro, que contrata el uso de Alexia, en todo momento es el responsable del fichero o del
tratamiento de los datos como entidad que decide sobre su finalidad, contenido y uso de los mismos.
Cospa&Agilmic como prestador de servicios es el encargado del tratamiento de los datos
accediendo únicamente a ellos para dar cumplimiento al Contrato firmado con el Centro.
Al igual que en la opción servidor, los datos de carácter personal alojados en Cloud no se
utilizarán para fines distintos al mantenimiento del servicio de Alexia contratado por el Cliente, ni se
revelarán o permitirá el acceso a terceros, salvo empleados o colaboradores de Cospa&Agilmic obligados
a mantener el carácter confidencial, mediante la firma de los correspondientes compromisos y acuerdos
de confidencialidad.
Se adoptarán, actualizarán y mantendrán las medidas organizativas y técnicas que se detallan en
la normativa vigente, así como adicionalmente, aquellas que se estimen necesarias para garantizar la
seguridad y confidencialidad de los datos de carácter personal, impidiendo cualquier alteración, pérdida,
tratamiento, procesamiento o acceso no autorizado, de conformidad con el estado de la tecnología,
naturaleza de los datos y los riesgos a los que estén expuestos.
Cospa & Agilmic, S.L.U. Documento de Seguridad
194
La página WEB de Alexia es compatible con el protocolo de seguridad HTTPS, codificando
mediante un certificado de seguridad (SSL) la información transferida durante las sesiones WEB. El
Cliente podrá solicitar la activación de dicho protocolo para el acceso a sus datos a través de su contacto
habitual en Cospa&Agilmic. Esta medida garantiza el cumplimiento de aquello establecido en el artículo
104 del RLOPD, garantizando el debido cifrado de los datos transmitidos para asegurar su integridad
durante su transmisión.
4.3. Acceso a la información: derechos de acceso, rectificación, cancelación y oposición de los
datos
El acceso remoto a Alexia facilitado al Cliente, le permite el acceso a la totalidad de la información
almacenada, lo que posibilitará al Cliente dar el cumplimiento del derecho de acceso, rectificación,
cancelación y oposición con sus usuarios de Alexia y dispondrá de la colaboración de Cospa&Agilmic en
todo momento a tal efecto.
4.4. Acceso a la copia de seguridad
Accediendo a Alexia WEB con el usuario supervisor, aparecerá un enlace a través del cual se
podrá realizar la descarga de una copia de seguridad de los datos de Cliente alojados en Cloud.
5. Comunicación de incidencias
Ante cualquier incidencia que pueda poner en riesgo la integridad o confidencialidad de los datos
del Cliente, Cospa&Agilmic se compromete a comunicarlo con la mayor diligencia posible a la persona del
Centro que el Cliente haya determinado para tal fin, o en su defecto, al director/a del mismo.
Se informará del alcance de la incidencia para que el Cliente pueda cuantificar el daño, y se
indicarán las medidas adoptadas para su oportuna resolución así como las correcciones pertinentes para
Cospa & Agilmic, S.L.U. Documento de Seguridad
195
evitar que se repitan en el futuro.
Las incidencias quedarán debidamente registradas en el Documento de Seguridad de
Cospa&Agilmic, lo que no exime al Cliente de llevar su propio registro.
6. Registro de acceso
Alexia ofrece la posibilidad de llevar un registro del acceso de los usuarios a la plataforma desde
dos perspectivas:
• Acceso a Alexia
• Acceso a datos con nivel de LOPD medio y alto
El administrador de Alexia podrá encontrar esta nueva herramienta recorriendo la ruta:
Utilidades\Seguridad\Registro de accesos
Para que el usuario tenga acceso a ella deberá tener activo el permiso "Registro LOPD".
Cospa & Agilmic, S.L.U. Documento de Seguridad
196
6.1 CuentaLogin y CuentaLogout
Acceso: La herramienta ofrece información sobre el acceso de los usuarios a Alexia.
• CuentaLogin: hace referencia al momento de acceso a la plataforma.
• CuentaLogout: hace referencia al momento en que el usuario sale de la plataforma.
Cospa & Agilmic, S.L.U. Documento de Seguridad
197
6.2 Acceso a información con nivel medio/alto
Alexia ofrece información sobre el acceso de los usuarios a información con nivel de LOPD
medio o alto.
En la tabla sobre el acceso a dicha información, Alexia describe:
• Tipo de información: la ficha a la que se ha accedido, por ejemplo de una sección o de un
alumno.
• Nombre de la información: a la que se ha accedido. En el caso de un alumno, se muestra el
nombre del mismo.
• Nivel de protección: al que está sujeto el dato.
Cospa & Agilmic, S.L.U. Documento de Seguridad
198
o DL1: nivel de protección alto.
o DL2: nivel de protección medio.
• Tipo de acceso: indica la acción que se ha realizado sobre la información. Por ejemplo: lectura,
modificación o borrado.
• Autorizado: muestra si el usuario que ha accedido a la información está o no autorizado a ello.
El registro de accesos se archiva dos años.
Nota: Como en las otras tablas, Alexia ofrece la herramienta de "filtro" de información.
7. Copias de seguridad
El sistema de gestión de copias de seguridad es distinto en Alexia servidor que en Alexia Cloud.
Es por ello que en este apartado es importante que el lector tenga claro en todo momento a cuál de los
dos se está refiriendo la descripción del manual.
7.1 Proceso programado
7.1.1 Alexia servidor
Con el objetivo de garantizar la confidencialidad, la integridad y disponibilidad de los datos,
Alexia realiza una copia de seguridad de forma automática a lo largo de la madrugada de cada jornada.
En el sistema quedan almacenadas las 5 últimas copias de seguridad así como una copia de seguridad
realizada al finalizar cada mes.
Los ficheros que se elaboran a raíz de este proceso quedan alojados en el servidor asignado en
cada Centro educativo. No obstante, recomendamos adicionalmente que el usuario realice una copia de
dichos archivos con el fin de alojarlos en otra unidad de disco de acuerdo al artículo 102 RLOPD.
NOTA: C&A pone a su disposición soluciones tecnológicas. Para mayor información consulte el
espacio "Equipamiento TIC \ Productos y servicios" de http://www.cospa-agilmic.com
Cospa & Agilmic, S.L.U. Documento de Seguridad
199
Podrán realizar este proceso todos los Clientes que tengan contratado el servicio de Alexia en
servidor local.
7.1.2 Alexia Cloud
Con el objetivo de garantizar la confidencialidad, la integridad y la disponibilidad de datos, Alexia
realiza una copia de seguridad de forma automática a lo largo de la madrugada de cada jornada,
sustituyéndose todos los días. En el sistema quedan almacenadas 4 copias, las correspondientes a la
madrugada del lunes, del miércoles, del viernes y la pasada madrugada. Los ficheros que se elaboran a
raíz de este proceso quedan alojados en las instalaciones del Cloud de Alexia.
Las copias de seguridad de los Clientes que tengan contratado el servicio de Alexia Cloud, las
realizará el proveedor del servicio de alojamiento debidamente informado en el Contrato de prestación de
servicio.
Sirva de ejemplo la situación del viernes 19 de abril de 2013. Las 4 copias de seguridad
almacenadas corresponderán a las realizadas:
• En la madrugada del viernes 12/04/13.
• En la madrugada del lunes 15/04/13.
• En la madrugada del miércoles 17/04/13.
• En la pasada madrugada 19/04/13.
7.2 Tipos de ficheros
Para Alexia Cloud y Alexia Servidor, las copias de seguridad que se realizan de forma automática
tienen la extensión BAK y contienen distintos tipos de datos: listados, calificaciones, sistema, datos u
otros.
Sólo en el caso de Alexia Servidor, cuando el usuario obtenga una copia de forma manual,
punto 5.3 de este manual, Alexia realizará también una copia de los directorios del repositorio,
almacenando una copia de las fotografías y documentos adjuntos, entre otros.
Cospa & Agilmic, S.L.U. Documento de Seguridad
200
7.3 Obtención de una copia de seguridad (Alexia servidor)
7.3.1 Permisos necesarios
Para la obtención de una copia de seguridad el usuario deberá disponer del permiso “400 Copias
de seguridad”.
Para otorgarle dicho permiso, se deberá acceder a la ficha del perfil del usuario. Con el filtro
“Seguridad” Alexia mostrará los permisos correspondientes a este campo. El que ahora ocupa es el que
se muestra resaltado en la siguiente figura.
7.3.2 Proceso de obtención de una copia de seguridad
Para obtener una copia de los archivos de seguridad el usuario de Alexia deberá recorrer la
Cospa & Agilmic, S.L.U. Documento de Seguridad
201
siguiente ruta:
Utilidades\Seguridad\Realizar copias
En el caso de que el Centro educativo esté administrado por un servidor, Alexia mostrará el
mensaje que aparece en la siguiente figura.
En la pantalla el usuario deberá indicar:
• El servidor (que encontrará escrito por defecto).
• La fecha de la copia de seguridad de la que quiere recuperar.
• El destino donde se alojará la copia de seguridad. Si pulsa sobre el botón , emergerá la
pantalla que muestra la siguiente figura.
El usuario deberá indicar al sistema la carpeta donde se alojará la copia y la aplicación mostrará
una última pantalla como la que muestra la siguiente figura.
Cospa & Agilmic, S.L.U. Documento de Seguridad
202
Si el usuario pulsa sobre el botón “Copiar” el sistema alojará la copia en el lugar indicado.
Nota: Cospa&Agilmic recomienda obtener un ejemplar de una copia de seguridad en línea
con la normativa existente.
7.4 Recuperación de copias de seguridad (Alexia Servidor y Alexia Cloud)
Si, por cualquier motivo, el usuario desea restablecer en el sistema una copia de seguridad,
deberá pedir al servicio técnico de Cospa&Agilmic que realice la gestión.
Cuando el Centro educativo solicita a Cospa&Agilmic que recupere en el sistema una copia de
seguridad, el usuario debe saber que Alexia se restablecerá con los datos que dicha copia contiene,
sustituyéndolos por los datos incorporados posteriormente.
Si en el intervalo de tiempo entre la fecha de la copia de seguridad recuperada y el momento en el
que se recupera, el usuario ha realizado tareas dentro del sistema, todos los datos modificados serán
restablecidos según la fecha de la copia de seguridad.
Manual 1.0 correspondiente a la versión 2.5.5.20 de Alexia.
La plataforma se actualiza de forma periódica por lo que le recomendamos que consulte
habitualmente esta página web donde encontrará la última versión del manual con las novedades y
modificaciones realizadas.
Para resolver cualquier duda o consulta, por favor, contacte con nuestro equipo de consultores
Cospa & Agilmic, S.L.U. Documento de Seguridad
203
llamando a nuestro teléfono habitual 902.013.800, o bien enviando un correo electrónico a la dirección:
[email protected] y especifique el aspecto de la LOPD que desee confirmar.
© Cospa&Agilmic
Reservados todos los derechos. Queda expresamente prohibida la reproducción, plagio, distribución o
comunicación pública, parcial o total de estos contenidos, sin la autorización de los titulares de los
correspondientes derechos de la propiedad intelectual.
Cospa & Agilmic, S.L.U. Documento de Seguridad
204
ANEXO XV
SITUACIÓN DEL PROGRAMA SOPHIA EN MATERIA DE PROTECCIÓN DE DATOS
En Barcelona a 15 de mayo de 2013
La compañía Cospa & Agilmic, SLU, tiene la exclusiva en España para la distribución de la
plataforma digital SophiA, que permite la gestión de bibliotecas, siendo posible alojar en ella datos, que la
normativa vigente, califica como de carácter personal. Desde el inicio de esta colaboración, se han
producido distintas consultas puntuales y no sistemáticas, encaminadas a averiguar el grado de
cumplimiento de la normativa de protección de datos tanto de SophiA, así como de aquellos tratamientos
o acceso a datos que el personal de Cospa & Agilmic puede realizar en el marco de los servicios
relacionados con la comercialización de la plataforma (especialmente los servicios de migraciones y
mantenimiento).
En el marco de la auditoría bianual de Cospa & Agilmic, SLU, iniciada el día 17-04-13, para dar
cumplimiento a lo establecido en el artículo 96 del Real Decreto 1720/2007, de 21 de diciembre, por el
que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de
protección de datos de carácter personal, quién firma este documento, recomienda que se proceda a una
auditoría de SophiA con el objeto de dar cumplimiento a lo establecido en el Reglamento
anteriormente citado. Esta recomendación va encaminada tanto a garantizar que los datos que se alojan
en SophiA cumplen unos requisitos mínimos para satisfacer las necesidades del derecho fundamental a la
protección de datos, así como para en el caso que los responsables del tratamiento (clientes, en muchos
casos Administraciones Públicas), soliciten información acerca de la realización de la auditoría requerida,
pueda darse respuesta a dicha solicitud legalmente amparada. Así mismo con la información y
documentación actualmente disponible de SophiA, no puede darse cumplimiento a lo establecido en la
Disposición Adicional Única del RLOPD cuando establece que “Los productos de software destinados al
tratamiento automatizado de datos personales deberán incluir en su descripción técnica el nivel de
seguridad, básico, medio o alto, que permitan alcanzar de acuerdo con lo establecido en el título VIII de
este reglamento.”
A todo esto debe añadirse que SophiA es una aplicación desarrollada en Brasil, país que en el
momento de redacción y firma de este documento, no solamente no tiene una normativa de protección de
datos homologada por la Unión Europea, sino que carece de una normativa general que regule este
derecho que, recordemos, en España y el resto de la UE, tiene carácter de fundamental. En la actualidad,
Brasil únicamente dispone de un proyecto de Normativa de protección de datos (presentado en Abril de
2010) y que actualmente no se ha aprobado. Las únicas normas que regulan de forma general y desde
unos estándares europeos, la protección de datos en Brasil, son las Guías que la OECD publicó en 1980,
a pesar de que dichas normas no tienen un carácter vinculante para los estados firmantes de las mismas.
Esta situación, implicaría, por ejemplo, que un eventual acceso desde Brasil a los datos personales
alojados en SophiA, podría suponer, en caso de no contar con las medidas adecuadas, una transferencia
internacional de datos no permitida, infracción que la LOPD considera muy grave.
Cospa & Agilmic, S.L.U. Documento de Seguridad
205
Debemos tener en cuenta, que en caso de llevar a cabo una transferencia internacional de datos,
porque los datos no se enviaran de forma anónima como se hace en la actualidad, deberíamos cumplir
uno de los siguientes requisitos:
1. Solicitar autorización al Director de la Agencia Española de Protección de Datos.
Para solicitar la autorización se debería facilitar a la Agencia la siguiente
documentación:
• Escrito de solicitud con identificación de los ficheros objeto de la transferencia con indicación del código con el que el fichero figura inscrito en el Registro General de Protección de Datos.
• Contrato basado en las Cláusulas Contractuales Tipo firmado por las partes (Copia Original o fotocopia compulsada).
• Poderes suficientes de los firmantes. • La inscripción de los ficheros deberá encontrarse completamente actualizada (apartados
de Medidas de Seguridad y Colectivos).
Debe tenerse en cuenta que la solicitud de la autorización no es un proceso sencillo y rápido,
más bien al contrario, conlleva un estudio del tema por parte de la Agencia Española de Protección de
Datos y la emisión de la resolución correspondiente, que no es inmediata.
2. Solicitar el consentimiento expreso a las personas afectadas por el alojamiento de sus datos en Brasil.
Por todo ello debe recomendarse que se realice con la máxima diligencia la citada auditoría,
solicitando para ello la colaboración del desarrollador de la plataforma SophiA a los efectos que facilite la
información necesaria para la correcta realización de la misma.
Victor Roselló Mallol, CIPP / E
Auditor de Protección de Datos
Cospa & Agilmic, S.L.U. Documento de Seguridad
206
ANEXO XVI
PROTOCOLO DE ACTUACIÓN DE COSPA & AGILMIC, S.L.U.
EN LA GRABACIÓN DE LAS LLAMADAS
1.- Respecto del trabajador:
La normativa estatal de protección de datos exige, para llevar a cabo las grabaciones de las llamadas telefónicas que efectúe el trabajador, que se informe al trabajador de forma expresa e inequívoca de este hecho y se le ofrezca la posibilidad de ejercer los derechos ARCO (Acceso, rectificación, cancelación y oposición). Todo ello, de conformidad con el artículo 5.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
¿Cómo debe informarse al trabajador?
Mediante circular o correo electrónico que, a modo de ejemplo, puede contener la siguiente información:
El trabajador reconoce haber sido informado de que sus conversaciones
telefónicas exclusivamente profesionales, a través de la línea telefónica
de la empresa pueden ser grabadas, con la finalidad de mejorar el servicio
prestado al cliente y comprobar la calidad del mismo.
Asimismo, se informa al trabajador de que puede ejercer los derechos de
acceso, rectificación, cancelación y oposición mediante carta dirigida a
Cospa&Agilmic, S.L.U., adjuntando fotocopia de su DNI, a C/ Bravo
Murillo, 377, C.P. 28020 de Madrid (España) o mediante correo
electrónico a (indicar email).
Es importante tener en cuenta que no se podrán utilizar las grabaciones para una finalidad distinta a la que se haya informado, en este caso, mejorar el servicio prestado al cliente y comprobar la calidad del mismo. Es decir, si la grabación se hace para controlar al trabajador, esta finalidad debe ser informada, si no la grabación no será válida para el control del trabajador.
En este sentido, se ha pronunciado la Agencia Española de Protección de Datos en diferentes resoluciones e informes, señalar, entre otros, el informe 280/2009.
En ningún caso pueden implementarse estas medidas de grabación, hasta que se haya producido la información previa a los trabajadores.
Cospa & Agilmic, S.L.U. Documento de Seguridad
207
2.- Respecto del Cliente:
La normativa estatal de protección de datos exige que el Cliente sea informado de forma expresa de la grabación de las llamadas. Todo ello, de conformidad con el artículo 5.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
¿Cómo debe informarse al Cliente?
La práctica habitual es que antes de que el Cliente pueda expresarse, se le informe bien personalmente, bien a través de un mensaje automático de la grabación de la llamada.
No obstante, con el fin de evitar que a alguien se le olvide informar al Cliente y para agilizarlo, lo más aconsejable es que se utilice un mensaje automático que, a modo de ejemplo, puede contener la siguiente información:
Con la finalidad de mejorar nuestro servicio, le informamos de que esta
llamada puede ser grabada.
Asimismo, le informamos que, si lo desea, puede obtener más información
en relación a nuestra política de protección de datos en www.cospa-
agilmic.com.
En ningún caso pueden implementarse estas medidas de grabación, hasta que se haya introducido este mensaje previo a la grabación de la conversación.
3.- Medidas de seguridad y documentales internas.
Si la empresa decide grabar las llamadas telefónicas entre sus trabajadores y clientes, debe además de lo ya expuesto:
a) Incluir en el Documento de Seguridad de la empresa que se van a grabar las llamadas telefónicas, así como, el tiempo de archivo de esas grabaciones, el acceso a las grabaciones, medidas de seguridad adoptadas para la protección de ese fichero, etc.
b) Firmar un contrato con el Prestador del Servicio que gestiona el programa de grabación de llamadas, si lo hubiere y si éste tuviere acceso a las grabaciones.
c) Dar de alta un fichero en el Registro General de Protección de Datos. En ningún caso pueden implementarse estas medidas de grabación, hasta que las medidas anteriores hayan sido implementadas.
4.- Consecuencias del incumplimiento de la normativa estatal de protección de datos.
El incumplimiento de los extremos expuestos en este informe puede conllevar la imposición de sanciones por la comisión de una infracción leve por parte de la Agencia Española de Protección de Datos por el tratamiento de datos personales sin la previa
Cospa & Agilmic, S.L.U. Documento de Seguridad
208
inscripción del fichero o por la recogida de datos sin la información previa obligatoria (sanciones entre los 900 euros y los 40.000 euros). Así mismo la falta de implementación de medidas de seguridad o la no inclusión en el Documento de Seguridad del fichero de grabaciones telefónicas, puede suponer una infracción grave de la ley con imposición de sanciones que pueden oscilar entre los 40.000 euros y los 300.000 euros.
Barcelona, a 3 de junio de 2014
Victor Roselló Mallol
Abogado especialista en Protección de Datos