a la navegació Informació de contacte

Avís Legal

Avís Legal

Mesures de seguretat

  • Indicació general de les mesures tècniques i organitzatives aplicades per protegir les dades personals: Les establertes al CONVENI D’ENCÀRREC DE GESTIÓ DE DIFERENTS SERVEIS D’ASSISTÈNCIA TÈCNICA INFORMÀTICA ENTRE L’AJUNTAMENT DE SORIGUERA I LA DIPUTACIÓ DE LLEIDA i al CONTRACTE D'ENCARREGAT DE TRACTAMENT VINCULAT AL CONVENI.

Part expositiva I, II i III que diu:

  1. Que per tal de garantir els drets dels ciutadans reconeguts a l’article 14 de la Llei 39/2015 d’1 d’octubre, del Procediment Administratiu Comú de les Administracions Públiques i poder desenvolupar les competències previstes als articles 25 i 26 de la Llei 7/1985, de 2 d’abril, Reguladora de les Bases del Règim Local, fent ús de sistemes informatitzats i d’accés electrònic, l’ENS LOCAL requereix d’un suport tècnic extern que li permeti una gestió informatitzada d’alguna de les seves funcions i de les relacions amb els ciutadans.
  2. La DIPUTACIÓ, en l’exercici de les seves competències de cooperació local (Art. 31 i 36 de la Llei 7/1985 de 2 d’abril, Reguladora de les Bases de Règim Local), disposa dels mecanismes tècnics i logístics suficients per tal de facilitar la gestió als municipis d’algunes de les seves competències.

III. L’ENS LOCAL ha considerat d’interès l’oferiment de la DIPUTACIÓ per tal de col·laborar en la gestió i rebre l’assistència tècnica necessària per al compliment d’algunes d’aquestes competències.

  1. Ambdues Entitats acorden la formalització del present conveni d’encàrrec de servei, segons allò previst a l’article 11 de la Llei 40/2015 d’1 d’octubre de Règim Jurídic del Sector Públic.

ANNEX 1 – MESURES DE SEGURETAT

En base a la necessària protecció de dades i la seguretat de les mateixes, la transmissió de confiança en els sistemes d’informació de la Diputació de Lleida com a prestadora de serveis, alineats amb els objectius i principis i seguint la normativa establerta per l’Esquema Nacional de Seguretat, en referència als serveis descrits a continuació:

  • Comptabilitat,
  • Gestió i recaptació de tributs en voluntària
  • Gestor d’expedients i documents electrònics
  • Gestor de continguts WEB
  • Padró municipal d’habitants
  • Plataforma digital col·laborativa

La Diputació de Lleida compleix amb les següents mesures de seguretat de la informació:

L’Esquema Nacional de Seguretat (ENS) estableix per les Administracions públiques fins a 15 dominis de seguretat, respecte els quals, es compleix amb les següents característiques i mesures alineades amb els serveis descrits amb anterioritat.

  1. Marc Organitzatiu

En referència al conjunt de mesures relacionades amb l’organització global de la seguretat, la Diputació de Lleida disposa d’una Política de Seguretat i un marc normatiu de seguretat alineats amb els requeriments de l’ENS, en la qual s’hi fa constar tant la definició de rols com l’assignació de responsabilitats en el sí de la institució. L’esmentada política garanteix que la posició de la Diputació de Lleida en matèria de seguretat es manté amb independència dels recursos empleats en cada moment per optimitzar els criteris funcionals i econòmics.

Per donar compliment a la Política de Seguretat, i en virtut del contingut en l’Esquema Nacional de Seguretat, amb la finalitat de garantir la seguretat de la informació tractada i els serveis prestats i, per assegurar el compliment de la normativa sobre protecció de dades personals, la Diputació de Lleida, així mateix ha creat una Comissió de Protecció de Dades i Seguretat de la Informació, juntament amb al designació i nomenament d’un Delegat de Protecció de Dades (DPO).

Assegurant-se d’aquesta manera la supervisió del compliment de la normativa en matèria de dades personals, s’ofereix per tant, una protecció a aquelles dades que puguin ser transmeses per els ens locals en l’encomana de gestió dels serveis de:

- Gestor d’expedients i documents electrònics

- Padró municipal d’habitants

- Plataforma digital col·laborativa

  1. Marc Operacional – Planificació

Per assegurar el compliment del Reglament Europeu de Protecció de Dades, i amb la finalitat d’analitzar i gestionar els riscos, la Diputació de Lleida disposa d’un sistema d’anàlisis de Riscos de Seguretat formal, el qual es duu a terme a través de l’eina PILAR, la qual permet dur a terme aquest anàlisis i gestió de riscos seguint la metodologia Magerit (Metodologia d’Anàlisi i Gestió de Riscos dels Sistema d’Informació), la qual es troba desenvolupada pel CCN. Assegurant d’aquesta manera que es verifiquin els requisits establerts pel RGPD ja esmentat , s’ofereix, una seguretat en matèria de protecció de dades que, al igual que en l’anterior domini, les dades que puguin ser transmeses per els ens locals en l’encomana de gestió dels serveis de:

- Gestor d’expedients i documents electrònics

- Padró municipal d’habitants

- Plataforma digital col·laborativa

 

Queden sota el paraigua i la protecció d’aquest sistema.

Així mateix, la Diputació de Lleida assegura que en l’adquisició de nous components o serveis IT es segueix el procés i fluxos d’aprovació de la Diputació amb la involucració de sistemes i assessoria jurídica en tots els processos de compra, així com la correcta gestió de capacitats de l’entorn TI.

S’assegura d’aquesta manera que les diferents plataformes que es posen a disposició dels diferents ens locals i a través de les quals es procedirà a treballar en cas que es realitzi l’encàrrec de gestió, compleixin amb les mesures esmentades.

  1. Marc Operacional- Control d’accessos

En referència al control d’accessos, és necessari esmentar que els accessos de proveïdors externs a la xarxa són restringits i controlats, la qual cosa assegura que les dades que, en aquells serveis que efectivament queden subcontractats tal i com s’especifica en el conveni d’encàrrec de gestió, l’accés a les mateixes dades queda restringit, assegurant-ne d’aquesta manera la seva protecció:

L’accés queda també regulat a través de l’ús de l’eina GLPI, (IT SERVICE MANAGEMENT), permet realitzar el procediment d’altes i baixes d’usuaris de forma segura i clara, el qual requereix del control i supervisió dels responsables.

L’accés als SI queda supeditat a l’accés a través d’un usuari i la seva corresponent contrasenya, assegurant d’aquesta només als usuaris autoritzats. Així mateix, la Diputació té aplicacions amb perfils diferenciats segons les activitats a executar.

  1. Marc Operacional – Explotació

En referència a l’explotació, l’ús de plantilles de configuració segura del Centre Criptològic Nacional (CCN) per als servidors, ofereix garanties de seguretat, així com la incorporació de solució antivirus per servidors i estacions de treball. Queda assegurada d’aquesta forma les dades contingudes i traslladades pels ens locals a les plataformes base dels diferents serveis objecte de l’encàrrec de gestió.

Igualment, es preveu l’existència d’un registre d’auditoria pel correu, servidor de fitxes i aplicacions, a partir de les quals es procedeix a identificar perills i a estimar riscs, convertint-se aquest en un procés sistemàtic que assegura que les dades i informació tractada tinguin una avaluació.

S’assegura, amb tot això, una correcta gestió de canvis que es puguin produir.

 

  1. Marc Operacional - Serveis Externs

Des de la Diputació s’assegura que tots aquells supòsits els quals comportin la utilització de recursos, serveis, equips o instal·lacions així com personal, extern, s’assegurin, en la seva contractació certs requisits en matèria de seguretat.

En aquest sentit, tota nova licitació que es porti a terme des dels diferents departaments, i en concret, des del Departament de Noves Tecnologies, inclou requeriments contractuals de Serveis, protecció de dades i compliment ENS. Configurant-se com un element clau en les licitacions de l’esmentat Departament, s’assegura d’aquesta forma que la informació que pugui ser bolcada pels diferents ens locals derivat del conveni de encomana de gestió que es procedirà a signar, i la seva custodia, es realitzarà d’acord amb especificacions funcionals assegurant que l’esmentada informació i dades a ser tractades no es posin a disposició ni en coneixement de personal o empreses no autoritzades.

Així mateix, es garanteix la petició, per part de la Diputació de Lleida als diferents proveïdors de serveis de TI, del compliment obligatori de l’Esquema Nacional de Seguretat.

Queden per tant, sota segur les dades que es puguin transmetre en serveis que es troben subcontractats, descrits en el conveni de encomana de gestió. 12

  1. Marc Operacional - Continuïtat del servei

La Diputació de Lleida disposa d’un Pla de Continuïtat de negoci, el qual determina la manera en la que es procedirà a recuperar i restaurar les funcions critiques, en el supòsit que es produeixi una interrupció total o parcial no desitjada. S’assegura per tant, una previsió respecte futurs incidents que puguin posar en perill les dades i informació a disposició de la Diputació.

Així mateix, es disposa d’un Pla Business Impact Analysis, el qual permet estimar l’impacte operacional i financer de les interrupcions que es puguin produir.

En connexió amb l’anterior, des de la Diputació s’assegura la realització de proves de recuperació periòdiques.

Es dona cobertura, per tant, a la totalitat de les dades que puguin ser traspassades pels ens locals derivades del conveni de encomana de gestió.

  1. Marc Operacional - Monitorització del sistema

La Diputació de Lleida disposa d’eines de detecció i prevenció de la intrusió així com la monitorització de la infraestructura de TI.

  1. Marc Protecció - Protecció de les instal·lacions

Refent a les instal·lacions, la Diputació de Lleida compleix amb la totalitat de mesures referenciades en l’ENS, assegurant d’aquesta forma tant, el control d’accés a les sales de servidors i departaments de Sistemes en els quals s’allotgen les dades referenciades, així com l’assegurament de l’accés restringit a aquestes disposicions únicament a usuaris habilitats. Així mateix, es disposa d’un registre d’entrades i sortides tant de persones com d’equipaments, permetent portar a terme un seguiment en tot moment inventariat.

Les mesures de Seguretat mediambientals també són cabdals en la protecció de dades de les instal·lacions.

  1. Marc de Protecció- Gestió del personal

En matèria de seguretat és transcendental que el personal i treballadors de l’àrea de TI tinguin una formació específica. És per això que la Diputació de Lleida disposa d’un Pla de Formació Específic de Seguretat per als esmentats treballadors. S’assegura, a través d’aquest que el personal a disposició del Departament tingui competències, coneixements i habilitats que, vinculades amb la seguretat i tractament de dades personals, siguin suficients per assegurar-ne la protecció i el bon tractament.

Així mateix, es disposa d’un manual de bon us dels Sistemes d’Informació que estableix els estàndards d’acció i actuació del mateix personal.

  1. Marc de Protecció – Protecció dels equips

En compliment de l’ENS, la Diputació de Lleida compta amb un protocol d’entrega i retirada d’equips, els quals a la seva vegada es troben protegits amb mesures de seguretat adequades..

Així mateix, s’assegura que els empleats no són, de forma general, administradors de les seves estacions de treball.

  1. Marc de Protecció – Protecció de les Comunicacions

Des de la Diputació s’assegura la redundància del FW com element de Seguretat Perimetral i accés restringit a la seva administració, assegurant d’aquesta manera la protecció d’uns perímetres en les instal·lacions.

S’assegura així mateix ISL i VPN per accessos remots com la segmentació de xarxes.

Igualment, amb la finalitat d’analitzar els sistemes amb l’objectiu de detectar vulnerabilitats i prioritzar-les segons el seu risc, es porten a terme Anàlisis de 13

Vulnerabilitats periòdics, els quals ofereixen una visió molt amplia tant del número com dels tipus de vulnerabilitats, a partir de les quals es podrà corregir el que es consideri necessari. Així mateix, i de forma, també, periòdic, es porten a terme Tests d’Intrusions, els quals són atacs simulats sobre el sistema amb l’objectiu de veure el risc real després de l’explotació de vulnerabilitats, podent, d’aquesta manera, reduir la superfície d’un possible atac.

  1. Marc de Protecció – Protecció dels suports

Destacar que la Diputació de Lleida està en procés d’eliminació de suports (Copies en Cloud) i, igualment, s’assegura l’adequat procés d’externalització de cintes.

  1. Marc de Protecció – Protecció d’Aplicacions

Es disposa d’un Projecte d’implementació d’una metodologia de desenvolupament referent a la protecció d’aplicacions, la qual cobrirà la totalitat dels requeriments necessaris de desenvolupament de l’ENS.

  1. Marc de Protecció – Protecció de la informació

Per donar compliment a la Política de Seguretat, i en virtut del contingut en l’Esquema Nacional de Seguretat, amb la finalitat de garantir la seguretat de la informació tractada i els serveis prestats i, per assegurar el compliment de la normativa sobre protecció de dades personals, la Diputació de Lleida, té designat un Delegat de Protecció de Dades (DPO), el que, de manera independent assegura el respecte i aplicació de la normativa en matèria de dades personals. Així mateix, es constata l’existència i respecte en les mesures de seguretat per a la protecció i privacitat de dades de caràcter personal, assegurant-se, per tant, a través d’aquestes, la protecció a aquelles dades que puguin ser transmeses per els ens locals en l’encomana de gestió dels serveis de:

- Gestor d’expedients i documents electrònics

- Padró municipal d’habitants

- Plataforma digital col·laborativa

La Diputació assegura igualment el correcte procés de firma electrònica, la qual és equivalent jurídicament i a tots els efectes a la firma manuscrita.

Així mateix, hi ha una adequada gestió de les Còpies de Seguretat, les quals permeten recuperar dades perdudes, accidental o intencionadament amb una antiguitat determinada. Aquestes tipus de copies engloben tant informació del treball en l’organització, aplicacions en explotació (incloent sistemes operatius), dades de configuració, serveis, aplicacions, equips entre altres de naturalesa anàloga, i claus utilitzades per preservar la confidencialitat de la informació.

  1. Marc de Protecció – Protecció dels serveis

Es posa de manifest la seguretat del servei de Correu a través d’un proveïdor de hosting. Això assegura la salvaguarda dels continguts compartits a través dels correus electrònics en un servidor.

Així mateix, amb la finalitat d’analitzar els serveis amb l’objectiu de detectar vulnerabilitats i prioritzar-les segons el seu risc, es porten a terme Anàlisis de Vulnerabilitats de la xarxa interna, els quals ofereixen una visió molt amplia tant del número com dels tipus de vulnerabilitats, a partir de les quals es podrà corregir el que es consideri necessari. Així mateix, i de forma, també, periòdic, es porten a terme Tests d’Intrusions, els quals són atacs simulats sobre el sistema amb l’objectiu de veure el risc real després de l’explotació de vulnerabilitats, podent, d’aquesta manera, reduir la superfície d’un possible atac.