Inicio
Backup Cloud
Nuestra Solución
Copia de Ficheros Abiertos
Seguridad y Cifrado
Contingencias comunes
La LOPD y el Backup
Casos Prácticos
Centro Datos
SaaS-Box
Servidores Virtuales
NAS Virtuales
Soporte
Contacto

Legislación

El artículo 94 del Real Decreto 1720/2007 que desarrolla la LOPD establece la obligatoriedad de las copias de seguridad cifradas en todas las organizaciones.




Requisitos de Copias de Seguridad de Ficheros que contengan Datos personales

Los requisitos de copias de seguridad que exige la normativa sobre Protección de Datos se encuentran contenidos en los siguientes artículos del Reglamento RLOPD [936 KB] :




Artículo 8. - Documento de Seguridad

1.- El responsable del fichero elaborará e implantará la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información.

2.- El documento deberá contener, como mínimo, los siguientes aspectos:

a.) Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.
b.) Medidas, normas, procedimientos, reglas y estándares encam inados a garantizar el nivel de seguridad exigido en este Reglamento.
c.) Funciones y obligaciones del personal.
d.) Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.
e.) Procedimiento de notificación, gestión y respuesta ante las incidencias.
f.) Los procedimientos de realización de copias de respaldo y de recuperación de los datos.

3.- El documento deberá mantenerse en todo momento actualizado y deberá ser revisado siempre que se produzcan cambios relevantes en el sistema de información o en la organización del mismo.




Artículo 14. - Copias de respaldo y recuperación

1. El responsable de fichero se encargará de verificar la definición y correcta aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos.
2. Los procedimientos establecidos para la realización de copias de respaldo y para la recuperación de los datos deberán garantizar su reconstrucción en el estado en el que se encontraban al tiempo de producirse la pérdida o destrucción.
3. Deberán realizarse copias de respaldo, al menos semanalmente, salvo que en dicho período no se hubiera producido ninguna actualización de los datos.




Artículo 24. - Registro de Accesos

1. De cada acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.
2. En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido.
3. Los mecanismos que permiten el registro de los datos detallados en los párrafos anteriores estarán bajo el control directo del responsable de seguridad competente sin que se deba permitir, en ningún caso, la desactivación de los mismos.
4. El período mínimo de conservación de los datos registrados será de dos años.
5. El responsable de seguridad competente se encargará de revisar periódicamente la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados al menos una vez al mes.




Artículo 25. - Copias de Respaldo y Recuperación

Deberá conservarse una copia de respaldo y de los procedimientos de recuperación de los datos en un lugar diferente de aquél en que se encuentren los equipos informáticos que los tratan cumpliendo en todo caso, las medidas de seguridad exigidas en este Reglamento.




Artículo 92.3 - Gestión de Backups

1. Los soportes y documentos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y solo
deberán ser accesibles por el personal autorizado para ello en el documento de seguridad.
Se exceptúan estas obligaciones cuando las características físicas del soporte imposibiliten su cumplimiento, quedando constancia motivada de ello en el documento
de seguridad.

2. La salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos y/o anejos a un correo electrónico, fuera de los locales
bajo el control del responsable del fichero o tratamiento deberá ser autorizada por el responsable del fichero o encontrarse debidamente autorizada en el documento de
seguridad.

3. En el traslado de la documentación se adoptarán las medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte.

4. Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior.




Artículo 94. - Copias de Respaldo y Recuperación

1. Deberán establecerse procedimientos de actuación para la realización como mínimo semanal de copias de respaldo, salvo que en dicho período no se hubiera producido ninguna actualización de los datos.

2. Asimismo, se establecerán procedimientos para la recuperación de los datos que garanticen en todo momento su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción.

Únicamente, en el caso de que la pérdida o destrucción afectase a ficheros o tratamientos parcialmente automatizados, y siempre que la existencia de documentación permita alcanzar el objetivo al que se refiere el párrafo anterior, se deberá proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad.

3. El responsable del fichero se encargará de verificar cada seis meses la correcta definición, funcionamiento y aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos.


4. Las pruebas anteriores a la implantación o modificación de los sistemas de información que traten ficheros con datos de carácter personal no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realización en el documento de seguridad.

Si está previsto realizar pruebas con datos reales, previamente deberá haberse realizado una copia de seguridad.




Artículo 101. - Gestión y Distribución de Soportes

1. La identificación de los soportes se deberá realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a
los citados soportes y documentos identificar su contenido, y que dificulten la identificación para el resto de personas.

2. La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o manipulada durante su transporte.

Asimismo, se cifrarán los datos que contengan los dispositivos portátiles cuando éstos se encuentren fuera de las instalaciones que están bajo el control del responsable del fichero.

3. Deberá evitarse el tratamiento de datos de carácter personal en dispositivos portátiles que no permitan su cifrado. En caso de que sea estrictamente necesario se hará constar motivadamente en el documento de seguridad y se adoptarán medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos.




Artículo 102.- Copias de Respaldo y Recuperación

Deberá conservarse una copia de respaldo de los datos y de los procedimientos de recuperación de los mismos en un lugar diferente de aquel en que se encuentren los equipos informáticos que los tratan, que deberá cumplir en todo caso las medidas de seguridad exigidas en este título, o utilizando elementos que garanticen la integridad y recuperación de la información, de forma que sea posible su recuperación.




Artículo 104. - Telecomunicaciones

Cuando, conforme al artículo 81.3 deban implantarse las medidas de seguridad de nivel alto, la transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.




Observaciones:

En la práctica, lo que el reglamento exige es una clara política de copias de seguridad, que imposibilite un accidente en relación a la posible desaparición de ficheros que contengan datos personales.

Para el nivel BASICO, se establece que "deberán realizarse copias de respaldo al menos semanalmente" de los datos, salvo que "no se haya producido ninguna modificación" de los mismos. Esto implica que no basta con tener los datos en soportes magnéticos, como el disco duro del ordenador, sino que hace necesario el establecimiento de soluciones hardware o software que hagan que dichos datos se encuentren en otro lugar distinto al de la ubicación principal de los mismos, es decir, que exista, simplemente, otra copia de los datos que no solo sea, por ejemplo, el ordenador de la oficina.

Para los niveles MEDIO/ALTO, se establece un periodo mínimo de conservación de los registros de acceso a datos de dos años, además de la obligación para el Responsable de Seguridad de la revisión de dichos accesos al menos una vez al mes y que las copias de seguridad de los datos han de almacenarse cifradas en un lugar geográfico distinto al de la ubicación principal de los datos. Para la correcta conservación de los registros de accesos, se requerirá, igualmente, unas adecuadas medidas de copias de seguridad donde éstas se puedan conservar. En el documento de seguridad correspondiente se deberán describir los procedimientos de copias de seguridad que se establezcan.




Contacto Política de Privacidad Aviso Legal Política de Cookies Derechos GDPR Homologaciones y Certificaciones
© 2017 MEGA SHOP S.L - Mega Shop All Rights reserved