Common use of Medidas relativas al control de acceso lógico Clause in Contracts

Medidas relativas al control de acceso lógico. 1. Definir, documentar y establecer un proceso estándar de gestión de las cuentas de acceso a los sistemas de información que procesan los datos personales (solicitud, autorización (principio de cuatro ojos), creación, modificación, borrado). 2. Únicamente se podrá conceder el acceso a los datos personales o los sistemas de procesado de datos personales cuando se dispongan de las autorizaciones correspondientes (de acuerdo con el proceso establecido). 3. Documentar e implantar un proceso que asegure que las cuentas de acceso a los sistemas se modifican adecuadamente en caso de ocurrir cambios organizativos (p.ej. Cambio de funciones, bajas de empresa, etc.). 4. Asegurar que se asigna un Identificado unívoco a cada cuenta de usuario. 5. Los cambios en las cuentas de usuario deberán ser trazables (alta, modificación, baja) y estar documentados (p.ej. En documentos o registrados en sistemas informáticos). 6. Revocar las autorizaciones concedidas a usuarios de forma inmediata en caso de que la relación contractual haya finalizado (incluyendo subcontrataciones). 7. Las cuentas privilegiadas de acceso al sistema que procesa datos personales deberán estar restringidas exclusivamente a personal autorizado y limitadas en número. 8. Las cuentas privilegiadas deberán ser concedidas únicamente a personal cualificado técnicamente y que han recibido previamente un curso de formación y sensibilización específico para la gestión y uso de cuentas privilegiadas. 9. Aquellos usuarios que requieran realizar actividades privilegiadas sobre los datos personales deberán disponer de dos cuentas en el sistema: una cuenta estándar para llevar a cabo las tareas rutinarias y operativas y una cuenta privilegiada para llevar a cabo las tareas que requieren de permisos privilegiados. 10. Se deberá prevenir la revelación no autorizada de las credenciales de autenticación de usuarios (p.ej. contraseñas, certificados, tokens de seguridad) que dan acceso a los sistemas de información y sistemas de soporte que procesan datos personales mediante la introducción de medias técnicas y organizativas (p.ej. almacenamiento cifrado de contraseñas, transferencia segura de las contraseñas al usuario, instrucciones y regulaciones que prohíban la comunicación de las contraseñas a terceros, limitación temporal de la validez de las contraseñas, complejidad de las contraseñas, proceso de asignación y reset de contraseña, etc.). 11. Las contraseñas de cuentas estándar de usuario deberán cumplir, al menos, con los siguientes requerimientos de complejidad y seguridad: - Deben ser almacenados de forma cifrada en los sistemas de información. - Las contraseñas no deben mostrarse durante el proceso de ingreso de la contraseña por parte del usuario. - La contraseña debe cambiarse de forma obligatoria tras el ingreso de la contraseña inicial de acceso al sistema. - La validez máxima de la contraseña debe ser de noventa (90) días. El sistema deberá forzar el cambio obligatorio de la contraseña transcurrido el plazo de validez máxima. - La longitud mínima de la contraseña debe ser de ocho (8) caracteres (incluyendo 2 números o caracteres especiales). - El histórico de contraseñas debe ser, como mínimo, de seis (6). - El número de intentos fallidos consecutivos a la hora de introducir la contraseña antes de que la cuenta se bloquee debe ser, como máximo, de cinco (5). - La cuenta deberá desbloquearse de forma automática trascurridos, como mínimo, 30 minutos en el caso de haber introducido la contraseña errónea de forma reiterada. - Se deberá de impedir la introducción de contraseñas triviales o fáciles de adivinar. Los requerimientos de complejidad y seguridad deben estar, en la medida que sea posible, forzadas en el sistema. 12. Las contraseñas asignadas a cuentas privilegiadas de usuario deberán cumplir, al menos, con los siguientes requerimientos de complejidad y seguridad: - Deben ser almacenados de forma cifrada en los sistemas de información. - Las contraseñas no deben mostrarse durante el proceso de ingreso de la contraseña por parte del usuario. - La contraseña debe cambiarse de forma obligatoria tras el ingreso de la contraseña inicial de acceso al sistema. - La validez máxima de la contraseña debe ser de noventa (90) días. El sistema deberá forzar el cambio obligatorio de la contraseña transcurrido el plazo de validez máxima. - La longitud mínima de la contraseña debe ser de dieciséis (16) caracteres (incluyendo mayúscula, minúscula, números y caracteres especiales). - El histórico de contraseñas debe ser, como mínimo, de seis (6). - El número de intentos fallidos consecutivos a la hora de introducir la contraseña antes de que la cuenta se bloquee debe ser, como máximo, de cinco (5). - La cuenta deberá desbloquearse de forma automática trascurridos, como mínimo, 30 minutos en el caso de haber introducido la contraseña errónea de forma reiterada. - Se deberá de impedir la introducción de contraseñas triviales o fáciles de adivinar. Los requerimientos de complejidad y seguridad deben estar, en la medida que sea posible, forzadas en el sistema. 13. Las cuentas privilegiadas de los sistemas de información (incluyendo las cuentas de administración del entorno y los compontes de soporte del sistema de información) que procesen datos personales deben utilizar mecanismos de autenticación fuerte basados en, al menos, 2 factores (PKI, One-Time Password, etc.). 14. El proveedor deberá proporcionar un mecanismo de autenticación fuerte basado en, al menos, dos (2) factores (PKI, One-time password, etc.) para el acceso a usuarios a los sistemas de información que procesan datos personales. 15. El gobierno de acceso a los datos y sistemas de información que procesen datos personales debe estar basado en un concepto de roles y permisos formalmente documentado y aprobado entre las partes. 16. La asignación de las autorizaciones/roles debe efectuarse teniendo en cuenta el principio de segregación de funciones (SoD) y principio del mínimo privilegio y deben tener una validez temporal. 17. Los roles y autorizaciones concedidos en el sistema de información que procesa los sistemas de información deben estar registrados. 18. Las autorizaciones concedidas deben ser revisadas de forma regular (máximo 1 año) para asegurar su adherencia y validez. 19. Disponer de una política de pantallas limpias, la cual deberá ser distribuida de forma regular a los empleados y formar parte de las actividades de concienciación y sensibilización que lleva a cabo la organización. 20. Los ordenadores y estaciones de trabajo del proveedor con acceso a los sistemas de información que procesan los datos personales deben disponer de un protector de pantalla protegido por contraseña que se active de forma automática transcurridos un periodo de inactividad de, como máximo, diez (10) minutos. 21. Los empleados y terceros que hagan uso de ordenadores y estaciones de trabajo propiedad del proveedor deben estar obligados a bloquear la pantalla una vez éstos abandonen su puesto de trabajo.

Medidas relativas al control de acceso lógico. 1. DefinirEl Encargado del Tratamiento deberá definir, documentar y establecer un proceso estándar normalizado de gestión de las cuentas de para el acceso a los sistemas de información que procesan los tratan datos personales (solicitud, autorización (principio [solicitud de cuatro ojos)autorización, creación, modificación, borrado)edición y supresión]. 2. Únicamente se podrá conceder el El acceso a los datos personales o a los sistemas de procesado tratamiento de datos personales cuando sólo se dispongan concede a los usuarios que disponen de las autorizaciones correspondientes (de acuerdo con según el proceso establecido). 3. Documentar El Encargado del Tratamiento debe documentar e implantar implementar un proceso que asegure para asegurar que las cuentas de acceso a los sistemas al sistema se modifican adecuadamente cambien en caso consecuencia después de ocurrir cambios organizativos organizacionales (p.ej. Cambio de funcionespor ejemplo, bajas de empresacambios funcionales, bajas, despidos, etc.). 4. Asegurar El Encargado del Tratamiento debe garantizar que se asigna un Identificado unívoco a cada cuenta de usuariousuario tiene un ID único asignado e inequívoco. 5. Los cambios realizados en las cuentas de usuario deberán los usuarios deben ser trazables (altacreación, modificaciónedición, bajacancelación) y estar documentados se debe mantener un registro de los mismos (p.ej. En por ejemplo, en documentos o registrados registros en sistemas informáticosde información). 6. Revocar El Encargado del Tratamiento deberá garantizar la revocación de las autorizaciones concedidas a de los usuarios inmediatamente después de forma inmediata en caso la finalización de que la relación contractual haya finalizado (incluyendo subcontratacionesincluida la subcontratación). 7. Las cuentas privilegiadas de acceso al sistema que procesa privilegiado para los sistemas de tratamiento de datos personales deberán deben estar restringidas exclusivamente a al personal autorizado y limitadas en número. 8. Las cuentas privilegiadas deberán ser concedidas únicamente a sólo deben concederse al personal técnicamente cualificado técnicamente y que han haya recibido previamente un curso específico de formación y sensibilización específico para la gestión y uso utilización de cuentas privilegiadas. 9. Aquellos Los usuarios que requieran realizar necesiten llevar a cabo actividades privilegiadas sobre los con datos personales deberán disponer de deben tener dos cuentas en el sistema: una cuenta estándar para llevar a cabo las tareas rutinarias y operativas operaciones rutinarias, y una cuenta privilegiada para llevar a cabo las tareas que requieren de requieran permisos privilegiados. 10. Se deberá prevenir la revelación no autorizada Las contraseñas estándar de las credenciales de autenticación de usuarios (p.ej. contraseñas, certificados, tokens de seguridad) que dan acceso a los sistemas de información y sistemas de soporte que procesan datos personales mediante la introducción de medias técnicas y organizativas (p.ej. almacenamiento cifrado de contraseñas, transferencia segura de las contraseñas al usuario, instrucciones y regulaciones que prohíban la comunicación de las contraseñas a terceros, limitación temporal de la validez de las contraseñas, complejidad de las contraseñas, proceso de asignación y reset de contraseña, etc.). 11. Las contraseñas de cuentas estándar de usuario deberán cumplir, al menos, con deben cumplir los siguientes requerimientos requisitos de complejidad y seguridad: - • Deben ser almacenados de forma cifrada en los sistemas de información. - • Las contraseñas no deben mostrarse durante el proceso de ingreso de la contraseña por parte del usuario. - • La contraseña debe cambiarse de forma obligatoria tras el ingreso de la contraseña inicial de acceso al sistema. - • La validez máxima de la contraseña debe ser de noventa (90) días. El sistema deberá forzar el cambio obligatorio de la contraseña transcurrido el plazo de validez máxima. - • La longitud mínima de la contraseña debe ser de ocho (8) caracteres (incluyendo 2 números o caracteres especiales). - • El histórico de contraseñas debe ser, como mínimo, de seis tres (63). - • El número de intentos fallidos consecutivos a la hora de introducir la contraseña antes de que la cuenta se bloquee debe ser, como máximo, de cinco tres (53). - • La cuenta deberá desbloquearse de forma automática trascurridos, como mínimo, 30 15 minutos en el caso de haber introducido la contraseña errónea de forma reiterada. - • Se deberá de impedir la introducción de contraseñas triviales o fáciles de adivinar. Los requerimientos de complejidad y seguridad deben estar, en la medida que sea posible, forzadas en el sistema. 12. Las contraseñas asignadas a cuentas privilegiadas de usuario deberán cumplir, al menos, con los siguientes requerimientos de complejidad y seguridad: - Deben ser almacenados de forma cifrada en los sistemas de información. - Las contraseñas no deben mostrarse durante el proceso de ingreso de la contraseña por parte del usuario. - La contraseña debe cambiarse de forma obligatoria tras el ingreso de la contraseña inicial de acceso al sistema. - La validez máxima de la contraseña debe ser de noventa (90) días11. El sistema deberá forzar el cambio obligatorio de la contraseña transcurrido el plazo de validez máxima. - La longitud mínima de la contraseña debe ser de dieciséis (16) caracteres (incluyendo mayúscula, minúscula, números y caracteres especiales). - El histórico de contraseñas debe ser, como mínimo, de seis (6). - El número de intentos fallidos consecutivos a la hora de introducir la contraseña antes de que la cuenta se bloquee debe ser, como máximo, de cinco (5). - La cuenta deberá desbloquearse de forma automática trascurridos, como mínimo, 30 minutos en el caso de haber introducido la contraseña errónea de forma reiterada. - Se deberá de impedir la introducción de contraseñas triviales o fáciles de adivinar. Los requerimientos de complejidad y seguridad deben estar, en la medida que sea posible, forzadas en el sistema. 13. Las cuentas privilegiadas de los sistemas de información (incluyendo las cuentas de administración control del entorno y los compontes de soporte del sistema de información) que procesen datos personales deben utilizar mecanismos de autenticación fuerte basados en, al menos, 2 factores (PKI, One-Time Password, etc.). 14. El proveedor deberá proporcionar un mecanismo de autenticación fuerte basado en, al menos, dos (2) factores (PKI, One-time password, etc.) para el acceso a usuarios los datos y a los sistemas de información que procesan datos personales. 15. El gobierno de acceso a los datos y sistemas de información que procesen tratan datos personales debe estar basado basarse en un concepto de roles y permisos formalmente documentado y aprobado entre las partesdocumentados. 1612. La asignación de las autorizaciones/roles papeles debe efectuarse ser válida sólo por un tiempo limitado y hacerse teniendo en cuenta el principio de los principios segregación de funciones (SoD) y principio del mínimo privilegio y deben tener una validez temporalprivilegio. 1713. Los roles y autorizaciones concedidos en el sistema de información que procesa concedidas a los sistemas de información deben utilizados para el tratamiento de datos personales deberán estar registradosregistradas. 1814. Las autorizaciones concedidas deben ser revisadas de forma regular revisarse periódicamente (máximo 1 al menos una vez al año) para asegurar garantizar su adherencia cumplimiento y validez. 1915. Disponer de Debe existir una política clara de pantallas limpiascontrol y difusión periódica entre los empleados, la cual deberá ser distribuida de forma regular a los empleados y formar que forme parte de las actividades de concienciación y sensibilización que lleva a cabo la organización. 2016. Los ordenadores y estaciones puestos de trabajo del proveedor Encargado del Tratamiento con acceso a los sistemas de información que procesan los datos personales deben disponer de un protector de pantalla salvapantallas protegido por contraseña que se active de forma automática transcurridos automáticamente tras un periodo período de inactividad de, como máximo, diez no superior a quince (1015) minutos. 2117. Los empleados y terceros que hagan uso de ordenadores utilicen las computadoras y estaciones de trabajo propiedad del proveedor Encargado del Tratamiento deben estar obligados a bloquear la pantalla una vez éstos sus pantallas de visualización cuando abandonen su puesto sus escritorios o estaciones de trabajo.