Políticas de privacidad

Aviso de protección de datos y confidencialidad de INVIDE

El presente Documento y sus Anexos, redactados en cumplimiento de lo dispuesto en el RLOPD recogen las medidas de índole técnica y organizativa necesarias para garantizar la protección, confidencialidad, integridad y disponibilidad de los recursos afectados por lo dispuesto en el citado Reglamento y en la LOPD.

El contenido de este documento queda estructurado como sigue:

Ámbito de aplicación del documento.
El presente documento será de aplicación a los archivos que contienen datos de carácter personal que se hallan bajo la responsabilidad de INVIDE, incluyendo los sistemas de información, soportes y equipos empleados para el tratamiento de datos de carácter personal, que deban ser protegidos de acuerdo a lo dispuesto en normativa vigente, las personas que intervienen en el tratamiento y los locales en los que se ubican.

En concreto, los archivos sujetos a las medidas de seguridad establecidas en este documento, con indicación del nivel de seguridad correspondiente, son los siguientes:

Datos personales.

En el Anexo I se describen detalladamente cada uno de los archivos o tratamientos, junto con los aspectos que les afecten de manera particular.

Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar los  niveles de seguridad exigidos en este documento.

REGISTRO AUTOMATIZADO

La información proporcionada por el usuario en la plataforma de registro deberá ser auténtica y personal y es responsabilidad del usuario su revisión para autorizar su registro. Esta información será única y es responsabilidad del usuario el buen uso de la contraseña y su cuenta de usuario. Esta contraseña deberá ser actualizada y cambiada por lo menos una vez al año.

REGISTRO DE ACCESO

En los accesos a los datos de los reportes a los archivos proporcionados,  se registrará por cada acceso la identificación del usuario, la fecha y hora en que se realizó, así como los del momento en que se realiza la consulta de los archivos proporcionados por el cliente registrado.

Los datos del informe proporcionado por el sistema se conservaran durante 15 días o podrán ser borrados por el usuario y descargados por el usuario registrado. Por ningún motivo podrán ser recuperados los registros después de este periodo o si el usuario registrado decide borrarlos.

El responsable de seguridad revisará al menos una vez al mes la información de control registrada y elaborará un informe según se detalla en el capítulo de “Comprobaciones para la realización de la auditoría de seguridad” de este documento.

Información y obligaciones del personal.

Para asegurar que todas las personas conocen las normas de seguridad que afectan al desarrollo de sus funciones, así como las consecuencias del incumplimiento de las mismas, serán informadas de acuerdo con el siguiente procedimiento: todos tendrán acceso a este documento donde se menciona el manejo de la información proporcionada por el usuario registrado en la página de registro y el pie de todas las páginas del sitio.

Funciones y obligaciones del PERSONAL

Todo el personal que acceda a los datos de carácter personal está obligado a conocer y observar las medidas, normas, procedimientos, reglas y estándares que afecten a las funciones que desarrolla.

Constituye una obligación del personal notificar al administrador de sistemas de INVIDE, las incidencias de seguridad de las que tengan conocimiento respecto a los recursos protegidos, según los procedimientos establecidos en este documento, y en concreto en el apartado de “Procedimientos de notificación, gestión y respuesta ante las incidencias.”

Todas las personas deberán guardar el debido secreto y confidencialidad sobre los datos personales que conozcan en el desarrollo de su trabajo.

Funciones y obligaciones de INVIDE en el manejo de la información proporcionada por el usuario, estará a resguardo en nuestra base de datos a cargo de Raúl Cuéllar. Los archivos XML proporcionados para su revisión en el sistema estarán vigentes y visibles para el usuario registrado por siete días o antes si el usuario decide eliminarlos del sistema.

El sistema solo llevará el conteo de los registros solicitados por el usuario registrado para su contabilidad.

Se delegan las siguientes autorizaciones en los usuarios relacionados:

Raúl Cuéllar rcuellar@invide.org.mx como administradores de los datos proporcionados por los usuarios registrados.

consecuencias del incumplimiento del documento de seguridad

El incumplimiento de las obligaciones y medidas de seguridad establecidas en el presente documento por el personal afectado, se sancionará conforme a las leyes aplicables en este caso por el IFAI, México.

Procedimientos de notificación, gestión y respuestas ante las incidencias.

Se considerarán como “incidencias de seguridad”, entre otras, cualquier incumplimiento de la normativa desarrollada en este Documento de Seguridad, así como a cualquier anomalía que afecte o pueda afectar a la seguridad de los datos de carácter personal de INVIDE.

El procedimiento a seguir para la notificación de incidencias será enviar un correo electrónico a la dirección corporativa rcuellar@invide.org.mx describiendo los hechos, fechas y seguridad violada.

El registro de incidencias se gestionará mediante el correo del usuario registrado siendo contestado en las siguientes veinticuatro horas hábiles.

Procedimientos de revisión.

El documento deberá mantenerse en todo momento actualizado y deberá ser revisado siempre que se produzcan cambios relevantes en el sistema de información, en el contenido de la información incluida en los archivos XML o como consecuencia de los controles periódicos realizados. En todo caso se entenderá como cambio relevante cuando pueda repercutir en el cumplimiento de las medidas de seguridad implantadas. Asimismo, deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.

Nunca deberá subir al sistema archivos PDF o de cualquier otro formato ni deberá incluir archivos infectados ya que el sistema automáticamente rechazará su comprobación y podrá bloquear su cuenta de acceso.

Informe mensual sobre el registro de accesos

El sistema creará un reporte mensual de las solicitudes de verificación de archivos XML en el sistema y le será enviado al usuario registrado.

Anexo I. Descripción de  archivos.

Actualizado a: 04 de mayo de 2018

Nombre del archivo o tratamiento: el archivo formato PDF.

Unidad/es con acceso al archivo o tratamiento: podrá subir su PDF como participación en el blog.

Nivel de medidas de seguridad a adoptar: el responsable de la seguridad es el usuario registrado que proporciona los archivos a la plataforma.

Estructura del archivo principal: el archivo formato PDF.

Información sobre el archivo o tratamiento

Finalidad y usos previstos.

Los archivos suministrados deberán ser libre de cualquier tipo de virus informático.

Anexo II. Nombramientos.

Director general: Raúl Cuéllar rcuellar@invide.org.mx

Anexo III. Autorizaciones de salida o recuperación de datos.

La dirección general de la empresa o persona solicitante del servicio podrá solicitar mediante escrito que se extraiga de nuestro sistema su archivo.

Anexo IV. Delegación de autorizaciones.

En su caso, el usuario registrado es el responsable del archivo que ha generado el sistema y está en su poder descárgalo como archivo electrónico o impreso, así como de su eliminación de nuestro sistema.

Anexo V. Inventario de soportes.

La información del usuario registrado y su empresa, se encuentran almacenados en una base de datos MySQL dentro de nuestro servidor https y el usuario registrado es la única persona autorizada para editar dichos datos.

Anexo VI. Registro de Incidencias.

Toda incidencia estará registrada por medio del correo electrónico que haga llegar el usuario registrado en las siguientes cuentas:
Dirección de servicios:
Raúl Cuéllar rcuellar@invide.org.mx

Anexo VII. Encargados de tratamiento.

Se presenta ante el cliente un contrato de confidencialidad donde se especifica que no se hará mal uso de la información proporcionada ni podrá ser compartida con terceros sin la autorización por escrito del cliente.

anexo VIII. Registro de entrada y salida de soportes.

Los archivos subidos por el usuario se despliegan para su consulta en la página de blog del sitio INVIDE. En este espacio podrá descargar su consulta y eliminarla del sistema. El caso omiso de este último paso, el sistema automáticamente borrará la consulta a los siete días de haberse elaborado.

ANEXO IX. Medidas alternativas.

Una vez transcurridos los siete días de la solicitud del servicio por parte del usuario, y que ésta sea destruida por el sistema, no hay posibilidad alguna de su recuperación a menos que el usuario vuelva a generar la consulta con los mismos archivos, lo cual contabilizará como una consulta nueva.