Política de Seguridad de Datos Personales y Control de Acceso

La Política de Seguridad de Datos Personales y Control de Acceso define los requisitos específicos de la organización para proteger datos personales en sistemas, aplicaciones, servicios, dispositivos, entornos en la nube y procesos operativos. Se aplica cuando los datos personales se almacenan, transmiten, tratan, administran o protegen, o cuando se accede a ellos, y cubre contextos de responsable del tratamiento, corresponsable del tratamiento, encargado del tratamiento y subencargado del tratamiento. La política está diseñada expresamente para integrarse con las prácticas existentes de seguridad de la información, no para sustituir un Sistema de Gestión de la Seguridad de la Información (SGSI) completo, una Política de Seguridad de Redes, una Política de Desarrollo Seguro, una política de copias de seguridad, una política de endpoints, una política de seguridad en la nube, un Estándar de Control Criptográfico, un procedimiento de gestión de vulnerabilidades o un procedimiento de respuesta a incidentes. Su finalidad principal es asegurar que los datos personales estén protegidos mediante controles de seguridad y control de acceso adecuados, alineados con el riesgo y auditables durante todo el tratamiento. Para apoyar esa finalidad, la política establece una línea base de seguridad de datos personales y exige evidencias trazables mediante REG02, REG08, REG10 y REG12. Este modelo de evidencias es central para la política: los registros operativos, los resultados de herramientas de seguridad, las exportaciones de revisiones de acceso, los informes de vulnerabilidades y las evidencias de configuración pueden adjuntarse a los objetos de evidencia canónicos, resumirse en ellos o referenciarse desde ellos, pero no se tratan como registros separados del PIMS. Esto permite a la organización demostrar que los controles se planifican, implantan, revisan, supervisan y mejoran sin duplicar registros de seguridad. La política establece requisitos detallados para control de acceso, autenticación y acceso privilegiado. El acceso a datos personales debe restringirse a roles aprobados y usuarios autorizados registrados o trazables en REG02 o REG12, y la finalidad profesional debe aprobarse antes del aprovisionamiento de accesos. Los sistemas de datos personales sensibles o de alto impacto requieren revisiones de acceso de usuarios al menos trimestrales, mientras que otros sistemas de datos personales requieren revisión al menos anual. El acceso debe retirarse o modificarse en el plazo de un día hábil tras un cambio de función, cese, finalización contractual o cuando el acceso ya no sea necesario. El acceso privilegiado requiere justificación, alcance y aprobación documentados antes de concederse, con revisión mensual para sistemas de datos personales sensibles o de alto impacto y revisión trimestral para otros sistemas de datos personales. La política también aborda las expectativas técnicas de seguridad para autenticación, cifrado, almacenamiento seguro, registro, supervisión, configuración, gestión de vulnerabilidades, acceso a endpoints y acceso en la nube. Se exigen identidades de usuario únicas para cuentas con acceso a datos personales, y se exige autenticación fuerte para accesos privilegiados, remotos, administrativos o a datos personales de alto impacto. El cifrado o una protección compensatoria aprobada debe definirse antes de que datos personales de alto impacto, sensibles o transmitidos externamente sean almacenados, transmitidos o puestos a disposición. El alcance del registro debe cubrir eventos de autenticación, eventos de acceso, acciones privilegiadas, actividad de exportación de datos personales y cambios materiales de configuración. El estado de configuración y la cobertura de vulnerabilidades deben registrarse en REG12, y las vulnerabilidades de alto riesgo no resueltas que afecten a datos personales deben registrarse en un plazo de cinco días hábiles desde su validación. Las responsabilidades de gobernanza se asignan a la alta dirección, el responsable de privacidad / responsable del PIMS, el delegado de protección de datos / asesor de privacidad, el responsable de seguridad de la información, el propietario de procesos / propietario de la empresa, el propietario del sistema / propietario de la aplicación, el responsable de proveedores / adquisición, el coordinador de respuesta a incidentes y el revisor de auditoría interna / cumplimiento. La política exige revisiones trimestrales de completitud de evidencias en REG02, REG08, REG10 y REG12, revisión trimestral de la eficacia de la línea base y de deficiencias no resueltas, y muestreo de auditoría de revisiones de acceso, revisiones de acceso privilegiado, evidencias de registro y evidencias de configuración. Las excepciones deben registrarse antes de su activación, incluir fecha de caducidad, control compensatorio y fecha de revisión, y recibir aprobación de la alta dirección cuando afecten a datos personales de alto impacto, datos personales sensibles, acceso privilegiado, cifrado, registro o vulnerabilidades de alto riesgo no resueltas.