manual de procedimientos para la … · el sistema de recursos humanos ... la facultad de decision...
Post on 14-Oct-2018
222 Views
Preview:
TRANSCRIPT
Liconsa
MANUAL DE PROCEDIMIENTOS PARA LA PROTECCION DE DATOS
PERSONALES
FECHA: U D E NOVIEMBRE DE 2006
DIRECCtON DB ADMINISTRACION UNIDAD JURiDICA
^r—rrrr—rrrr...r.r.r.rrrrrr—r.—^vrrr^vrrrr^vrrrrrrr..rr.—r—rrrr^v.r^.^—rr..^r..r^—. t t t t.r.^vrr.t t t —.t t t rr^-rr.r.^-.r^ t—r—rr^r—
Manual de Procedimientos para la Proteccidn de Datos Personales
jrr^Lrjjr^vr—rrr..r^vrrr.r.j^-^
Clave: VST-DA-PR-013 ^rr—r—rrrrr^-^vr^vr^.—rr^r.rrr.^r^ ^r^vr—rr—^v——rr^v..^—r..rrr..r^vrr.—rrrrrr^r^..rr—...rrrr.rr—r^v^..^..r^v^—r.r—^
Emision Original: 14-11-2006
No. Revision
Revision:
INDICE GENERAL
Pagina
!. INTRODUCCION ~— ———————— —. 1 -1
IL OBJETIVO GENERAL ——— ——— 1 -1
III. GLOSARIO ~ ——— „—_-_-———__-- -__..„- 1-2
IV. MARCO LEGAL — —— ~ 1 -2
V. ALCANCE — ——~ — —~ 1-1
VL NORMAS GENERALES ——— — ———— 1-4
VII. PROCEDIMIENTOS
1. PROGEDiMIENTO DE RESGUARDO DE SISTEMAS (VST-DA-PR-013-01) ~ — —- ' j ^
2. PROGEDiMIENTO DE CONTROL, REGiSTRO DE ASIGNACION Y i BAJA DE LOS EQUIPOS DE COMPUTO 1-4 (VST-DA-PR-013-02) — ———— —-
3. PROCEDIMIENTO DE AUDITORIA Y RASTREABILIDAD DE . ^ OPERACIONES (VST-DA-PR-013-03) —-
4. PROCEDIMIENTO DE NOTIFICACION, G E S T I 6 N Y RESPUESTA ANTE INCIDENTES (VST-DA-PR-013-04) —————————— ^"^
5. PROCEDIMIENTO PARA EL CONTROL DE ASIGNACION DE . .„ CLAVES DE ACCESO (VST-DA-PR-013-05) —-——— ————
VIII. RELACION DE ANEXOS —-.-———————— —— -. - - - - 1-10
IX. APROBACION DEL COMITE DE MEJORA REGULATORIA INTERNA — 1-1^
PECHA: '.4 DE NGVEEMBRE. PAGfNA: 1 DE:
DIRECCldN DE ADMINiSTRACldl UNtDAD JURiDICA
^.•_V_VAV_L-_li
Manual de Procedimientos para la Proteccion de Datos Personales
Clave: VST-DA-PR-013
Emision Original: 14-11-2006
No. Revision:
Revision:
I INTRODUCCION
Ei presente documento se desarrolio considerando el objeto y ambito de apiicacion de los
lineamientos emitidos por el iPAl, ios cuaies tienen por objeto establecer las poiiticas
generates y procedimientos que deberan observar las dependencias y entidades de !a
Administracion Publica Federal para garantizar a ia persona la facultad de decision sobre
ei uso y destino de sus datos personales, con el proposito de asegurar su adeeuado
tratamiento e impedir su transmision iiicita y lesiva para la dignidad y derechos dei
afectado.
Diclios lineamientos fueron publicados en e! Diario Oficial de ia Federacion el 30 de
Septiembre de 2005 por el Instituto Federal de Acceso a la informacion Publica.
Dado que LICONSA como parte de sus atribuciones, opera diferentes sistemas de datos
personales, como es el de Control y Administracion de Padron de Beneficiarios (SiCOPA),
el Sistema de Recursos Humanos (SIREH y SiCORH), expedientes de personal
(MAXIMAGE), Seguro de Personas y el Sistema de Anaiisis Financiero de Concesionarios
(SAFCO), se requiere contar con la normatividad necesaria para cumplir cabaimente con
os lineamientos emitidos por el IFAf, es por ello, que el presente manual incluye la
normatividad general y cinco procedimientos que fueron eiaborados en virtud de que
ningun otro manual de normas y procedimientos de la entidad los considera y que se
deberan seguir por los Responsabies, Encargados y Usuarios de los sistemas que /
manejan datos personales dentro de LiCONSA, para garantizar la se^ridad e integridad
de los nnismos.
FECHA: 14 DE NOVEMBRE Dl PAGINA: 1 DE: 1
DiRBCCfdN DB ADMINISTRACION UNIDAD JURIDICA
i—.
Manua! de Procedimientos para la Proteccion de Datos Personales^
No. Revision: iCIave: VST-DA-PR-013 r ^
Emision Original: 14-11-2006 Revision:
II. OBJETIVO GENERAL
Garantizar a la persona, en el uso de los sistemas institucionales de LICONSA,
Controi y Administracion de Padrones de Beneficiarios (SICOPA), Sistema de
Recursos Humanos (SIREH y SICORH), expedientes de personai (MAXIMAGE),
Seguro de Personas y el Sistema de Analisis Financiero de Concesionarios
(SAFCO), la facultad de decision sobre el uso y destino de sus datos personales, con
ei proposito de asegurar su adeeuado tratamiento e impedir su transmision iiicita y
lesiva para la dignidad y derechos de! afectado.
FECHA: 14 DENOVIEM PAGINA: ( DE:
DIRECCION DE ADMINISTRACION UNIDAD JURIDICA
Manual de Procedimientos para la Proteccion de Datos Personales
Clave: VST-DA-PR-013 No. Revision:
Emision Original: 14-11-2006 I Revision: —-- - -.-.—.-.—.. ^vr. I I I jr.rrr.^v^r..rr.rrr.r—..r—...^vrr.. ii i^^i ii rrrrr
^ - • • ^ . - — . - . — - — ^ — - — - . - . . - . - - - -
III. GLOSARIO
DESTINATARIO: Cuaiquier persona fisica o moral publica o privada que recibe datos personales.
ENCARGADO: El servidor publico o cuaiquier otra persona fisica o moral, facultado por un instrumento juridico o expresamente autorizado por el Responsabie, para iievar a cabo ei tratamiento fisico o automatizado de los datos personales.
RESPONSABLE: El servidor pubiico titular de la unidad administrativa, designado por el titular de la Entidad, que decide sobre el tratamiento fisico o automatizado de datos personales, asi como el contenido y finaiidad de los sistemas de datos personales.
SISTEMA "PERSONA":
SISTEMA DE DATOS PERSONALES
TITULAR DE LOS DATOS:
TRANSMISION:
Aplicacion informatica desarroliada por el instituto para mantener actualizado el listado de los sistemas de datos personales que posean las dependencias y entidades para registrar e informar sobre las transmisiones, modificaciones y cancelaciones de los mismos.
Conjunto ordenado de datos personales que esten en posesion de la Entidad, con independencia de su forma de acceso, creacion, almacenamiento u organizacion.
Persona fisica a quien se refieren los datos personales que sean objeto de tratamiento.
Toda entrega totai o parcial de sistemas de datos personales, realizada por las dependencias y entidades a cualquier persona distinta al Titular de los datos, mediante el uso de medios fisicos o electronicos, tales como, ja interconexion de computadoras, interconexion de bases 0e datos, acceso a redes de telecomunicacion, asi como a traves de ia^utllizacion de cualquier otra tecnologia que lo permfe
FEOHA: 14 DENOV, PAGINA: 1 DE: 2
DIRECCldN OE ADMINlSTRACldN UNIDAD JURIDIC
• • • - • - • - • • — - - . ^ — -
Manual de Procedimientos para la Proteccion de Datos Personales
Clave: VST-DA-PR-013 No. Revision: .-...-—-
• • • - • • • - - • • - - - - • -
:l0^^^ \ y-. -- Emision Original: 14-11 -2006 i Revision:
TRANSMISOR: ntidad que posee transmision.
los datos personales objeto de la
TRATAMIENTO: Operaciones y procedimientos fisicos o automatizados que permitan recabar, registrar, reproducir, conservar, organizar, modificar, transmitir y canceiar datos personales.
USUARIO: Servidor publico facultado por un instrumento Juridico o expresamente autorizado por e! Responsable que utiliza de manera cotidiana datos personales para el ejercicio de sus atribuciones, por lo que accede a ios sistemas de datos personales, sin posibilidad de agregar o modificar su contenido.
/
\ p I g
FECHA: U DE NQVlE^iBRE DE 2006 PAGFNA: 2 DE:
DIRECCldN DB ADMINlSTRACldN UNIDAD JURiDICA
Manual de Procedimientos para la Proteccion de Datos Personales
r.-. ^ iCIave: VST-DA-PR-013
Emision Originai: 14-11-2006
No. Revision:
Revision:
IV. MARCO LEGAL
Constitucion Poiitica de los Estados Unidos Mexicanos. Promulgada ei 5 de febrero de 1917. Uitima refonna del 14 de septiembre de 2006.
1.
2.
3.
Leyes
Ley Organica de la Administracion Publica Federal. DOF del 29 de diciembre de 1976. Ultima reforma 2 de junio de 2006.
Ley Federal de las Entidades Paraestatales. DOF dei 14 de mayo de 1986. Ultima reforma dei 21 de agosto de 2006.
Ley Federal de Procedimiento Administrativo. DOF dei 04 de agosto de 1994. Uitima reforma dei 30 de mayo de 2000.
Ley Federai de Responsabilidades Administrativas de ios Servidores Pubiicos. DOF dei 13 de marzo de 2002. Ultima reforma 21 de agosto de 2006.
Ley Federal de Transparencia y Acceso a la Informacion Publica Gubemamental. DOF del 11 de junio de 2002. Ultima reforma 6 de junio de 2006.
Reglamentos
Reglamento de la Ley Federal de ias Entidades Paraestatales. DOF del 26 de enero de 1990. Uitima reforma 7 de abril de 1995.
Reglamento de ia Ley Federal de Transparencia y Acceso a la informacion Pubiica Gubemamental. DOF det 11 de junio de 2003.
Reglamento Interior del Instituto DOF del 11 de junio de 2003.
Federal de Acceso a la Informacion Publica
Decreto por el que se deroga la Fraccion I det Articuio 22 de Transparencia y Acceso a la informacion Publica de mayo de 2004.
la Ley ^e ra l d OF dei 11
[CHA: 14 DENOV PAGiNA; 1 DE; 2
DIRBCCldN DB ADMINlSTRACldN UNIDAD JURiDICA
Manual de Procedimientos para la Proteccion de Datos Personales
Clave: VST-DA-PR-013 No. Revision . ...-..-. — ....-....-...-..- - -...
Emision Original: 14-11-2006 i Revisidn:
4. Acuerdos
Acuerdo por el que se modifica ei Cuadragesimo de ios Lineamientos de Proteccidn de Datos Personales. DOF del 17 de julio de 2006.
5. Otras Disposiciones Legaies
Lineamientos de Proteccion de Datos Personales
Lineamientos que deberan observar las dependencias y entidades de la Administracion Pubiica Federal en la recepcion, procesamiento y tramite de las solicitudes de acceso a ia infomiacion gubemamental que formulen los particulares, asi como en su resolucion y notificacion, y la entrega de la informacion en su caso, con exclusion de las soiicitudes de acceso a datos personales y su correccion. DOF del 12 de junio de 2002.
Lineamientos que deberan observar las Dependencias y Entidades de la Administracion Pubiica Federal para notificar al institute e! listado de sus sistemas de datos personales. DOF del 20 de agosto de 2002.
Lineamientos que deberan observar las dependencias y entidades de la Administracion Publica Federa! en ta recepcion, procesamiento, tramite, resolucion y notificacion de las soiicitudes de acceso a datos personales que formulen ios particulares, con exclusion de las soiicitudes de correccion de dichos datos. DOF del 25 de agosto de 2003.
Lineamientos que deberan observar las dependencias y entidades de la Administracion Publica Federai en ia recepcion, procesamiento, tramite, resolucion y notificacion de las solicitudes de correccion de datos personales que formulen los particulares. DOF del 6 de abril de 2004.
Lineamientos de Proteccion de Datos Personales. DOF del 30 de septiembre de 2005.
Los documentos, decretos y avisos que emita el IFAI sobre e! tema
FECHA: 14 DE NOViEyBRE DE PAGiNA: 2 DE; 2
DIRECCION DE ADMINISTRACION UNIDAD JURiOlCA
-.----- —
Manual de Procedimientos para la Proteccion de Datos Personales
Clave: VST-DA-PR-013 No. Revisidn: .^r...r.r^
Emision Original: 14-11-2006 \ Revision:
V. ALCANCE
A. En Oficina Central:
Direcciones Unidades administrativas Subdirecciones Jefaturas de Departamento Persona! Operativo
8. n Centros de Trabajo: Gerencias Subgerencias Jefaturas de Departamento Personai Operativo
/
FECHA: 14 DE NOVEMBRE DE 2006 PAGsNA: 1 DE: 1
DIRECCldN DE ADMINlSTRACldN UNIDAD JURIDICA
Manual de Procedimientos para la Proteccion de Datos Personales
Clave: VST-DA-PR-013 No. Revision
Emision Original: 14-11-2006 | Revision: Liconsa
VI. NORMAS GENERALES
1. Generales
Las indicadas por ei Instituto de Acceso a la informacion Pubiica, de las cuates se dedyan las siguientes:
1.1. La informacidn solicitada ai Titular de los datos, es la estrictamente necesaria.
1.2. En caso de que los Responsables, Encargados o Usuarios detecten que hay datos personales inexactos, deberan actualizarios en ei momento mismo que tengan conocimiento de este hecho, siempre y cuando cuenten con el soporte documental correspondiente.
1.3. Los datos personates que hayan sido objeto de tratamiento y no contengan vaiores historicos, cientificos, estadisticos o contables, deberan ser dados de baja por las dependencias y entidades, o bien, los que contengan dichos valores seran objeto de transferencias secundarias, de conformidad con to establecido por los catalogos de suposicion documentai.
1.4. Los datos personales solo podran ser tratados en sistemas que reunan las condiciones de seguridad estabiecidas en el presente manual.
1.5. En el momento que se reciban datos personales, conocimiento at titular de ios datos tanto en electronicos utilizados para ese fin.
la Entidad debera hacer del los formatos como en los
1.6. Los datos personales no pueden asociarse al Titular de estos.
1.7. Cuando se eontrate a terceros para que realicen el tratamiento de datos, debera estipularse en el contrato correspondiente la implantacion de medidas de seguridad y custodia previstas en estas normas.
r y --
1.8. Ei funcionario pubiico responsable de recabar el consentimiento del titular de los datos para la transmision de los mismos, debera entregar a este, de manera previa, la informacion suficiente acerca de las implicaciones de consentimiento.
/7 FECHA; U DE NOVEE^^SRE DE 2006
PAGiNA: 1 DE;
DIRBCCION DB ADMINISTRACION UNIDAD JURiDiCA
S;; «,:>«::
Manual de Procedimientos para la Proteccion de Datos Personales
-r.j^
ICIave: VST-DA-PR-013 1-.X.T-A—A—1
i-An-.^\—.-.—.—A-.-AVAV.-.-.—A\-.-.x"
Emision Original: 14-11-2006
No. Revision: I—.-A---.^
Revision: ..rrrrr. t t t rrrr. i i i i mi rr.r.rr.rr^-.r^-^vr.r^-—r...—r^^jr^
2. Medidas de Seauridad
2.1. Los Directores, Gerentes Metropolitanos, Estataies y de Programas de Abasto Sociai, designaran a los Responsables de ios Sistemas de Datos Personaies con que cuenta la Institucion.
2.2. El Comite de informacion a traves de los Directores, Gerentes Metropolitanos, Estataies y de Programas de Abasto Social, difundira a los Responsables, Encargados y Usuarios de los Sistemas de Datos Personales, la normatividad y ios criterios especificos sobre el manejo, mantenimiento, seguridad y proteccion de ios sistemas de datos.
2.3. La documentacion generada para la implantacion, administracion y seguimiento de las medidas de seguridad administrativa, fisica y tecnica, tendra caracter de informacion reservada y sera de acceso restringido, el personal que tenga acceso a esta informacion debera evitar que esta sea divulgada.
2.4. El responsable debera: adoptar ias medidas para el resguardo de los sistemas, de manera que evite su alteracion, perdida o acceso no autorizado, autorizar expresamente, en los casos en que no este previsto por un instrumento juridico, a Encargados y Usuarios y llevar una retacion actualizada de ias personas que tengan acceso a los sistemas e infonnar ai Comite el nombre de los Encargados y Usuarios.
/
3. Sitio Seguro
3.1. Las areas responsables de los sistemas de datos personales en Oficina Central y los Gerentes Metropolitanos, Estataies y de Programas de Abasto Social, en los Centros de Trabajo, deberan:
a Asignar un espacio seguro y adeeuado para la operacion de ios sistemas.
o Controlar ei acceso fisico a tas instalaciones en donde se encuentra el equipamiento que soporta ia operacion de los sistemas .de datos personales debiendo registrar en una bitacora.
FECHA: 14 OE NOV^ELiBRE DE 2006 PAGINA: 2 DE: 4
DIRECCION DE ADMINISTRACION UNIDAD JURIDICA
Manual de Procedimientos para la Proteccion de Datos Personales
Clave: VST-DA-PR-013 No. Revision:
Emision Original: 14-11-2006 I Revision:
v—.—^
vrrrr
3
Reaiizar procedimientos de control, registro de asignacion y baja de los equipos de computo a los Usuarios que utilizan datos personaies, considerando que si es asignacion, configurarlo con las medidas de seguridad necesarias tanto a nivel operativo como de infraestructura y verificar y llevar un registro del contenido dei equipo para facilitar los reportes del Usuario que !o recibe o lo entrega para su baja.
Implantar procedimientos para el control de asignacion y renovacion de claves de acceso a equipos de computo y a ios sistemas de datos.
Implantar medidas de seguridad para el uso de ios dispositivos electronicos y fisicos de salida, asi como para evitar el retiro no autorizado de los mismos fuera de las instalaciones de la Entidad.
4. Seguridad en la Red
4.1. Llevar el contro! de acceso a la red que considere ios perfiles de usuarios o grupos de usuarios para el acceso restringido a ias funciones y programas de los sistemas de datos.
4.2. Estabiecer mecanismos de auditoria o rastreabilidad de operaciones, que mantenga una bitacora para conservar un registro detallado de las acciones llevadas a cabo en cada acceso, ya se autorizado o no, a los sistemas de datos.
5. Registros de Incidentes
5.1. El encargado debera de iievar un registro de incidentes en el que se consign^^ los procedimientos realizados para la recuperacion de los datos o para permitir una disponibiiidad del proceso, indicando la persona que resolvio el incidente, id metodoJogfa aplicada, los datos recuperados y, en su caso, que datos ha sido necesario grabar manualmente en et proceso de recuperacion.
:CHA: 14 DE NOVIEMBRE DE 2GQf PAGJNA: 3 DE: 4'
DIRECCldN DE ADMINlSTRACldN UNtDAD JURiDICA
.-.-..--
Manual de Procedimientos para la Proteccion de Datos Personales
Clave: VST-DA-PR-013 No. Revision: -r..rr—r..r.r—r^^^
Emision Original: 14-11-2006 | Revision
6. Accesos Controiados v Bitacoras
6.1. En cada acceso a un sistema de datos personates se debera guardar:
^'^
o
'•^
o
o
Datos completes del Responsable, Encargado y Usuario.
Modo de autentificacion del Responsable, Encargado o Usuario
Fecha y hora en que se reaiizo el acceso, o se intento el mismo
Sistema de datos personales accedido.
Operaciones o acciones llevadas a cabo dentro dei sistema.
Fecha y hora en que se realizd la salida del sistema.
7- Respaldo v Recuperacion de informacion
7.1. Aplicar procedimientos de respaldos de bases de datos y reaiizar pruebas periddicas de restauradon.
7.2. Llevar contro! de inventarios y clasificacion de los medios magneticos u opticos de respaldo.
7.3. Utilizar un espacio externo seguro para guardar de manera sistematica tos respaldos de las bases de datos de los sistemas.
7.4. Disenar planes de contingencia que garanticen la continuidad de la operacion y reaiizar pruebas de eficiencia de los mismos.
c DIRBCCldN DB ADMINlSTRACldN
UNIDAD JURiDICA
Manual de Procedimientos para la Proteccion de Datos Personales
--—..—.--..-—--.— - —..-
Clave: VST-DA-PR-013
Emision Original: 14-11-2006
No. Revision: ^vr^.^.....rrr—r^v—^r—rrr^v^rrr—^Lrjrr—.^r—r^
Revision: "Ly- ^rrrr^
Liconsa
VII. PROCEDIMIENTOS
1. Procedimiento de Resguardo de Sistemas (VST-DA-PR-013-01)
2. Procedimiento de Control, Registro de Asignacion y Baja de los Equipos de Computo (VST-DA-PR-013-02)
3. Procedimiento de Auditoria y Rastreabilidad de Operaciones (VST-DA-PR-013-03)
4. Procedimiento de Notificacion, Gestion y 013-04)
Respuesta ante incidentes (VST-DA-PR-
5. Procedimiento para el Control de Asignacidn de Claves de Acceso (VST-DA-PR-013-05)
\
jJ-
FECHA: UDENOV^EMBR PAGiNA: 1 DE: 1
DIRECCldN DB ADMINlSTRACldN UNIDAD JURIDICA
I I I I I I I I I I I I I I I I l l l l I I II I I I ^—
Manual de Procedimientos para la Proteccion de Datos Personales
Procedimiento de Resguardo de Sistemas . rrrr.r.rr^-rr^^ rrrr.^..r^ r.
^ ^ Clave: VST-DA-PR-013-01 rr.—.rj.r
Emision Original: 14-11-2006
No. Revision:
Revisidn:
FIRMAS DE AUTORIZACION
tjr^vrr——jrrjrr.jrrjr
Licruanos Kamtrez igiesias Subdirector de Desarroilo de Sistemas
Infonnaticos
Reviso:
Uc. Fran Tituiar d
er Madrid Lino la Unidad Juridica
Aprobo;
Lie. Daniel Aceves Villagran Director de Administracion
^
^vjrr—jrrrrrrj.r.rrr.^rrr^r^rjj
j.rrjr.^-rr—^vrrr.r.jrt
Fecha de documentacion: Revision numero:
Copia numero: Copia asignada a:
• ~ - ^ ^ . . . . - . - . - — - . • I I I I I I I I I I I I I I I I I I I i i i i i i i i i i i i i i i i i i i i i i i i i i i i i i i i i i
14-11-2006 Original
FECHA: 14 DE NGVtEMBRE DE 2006 PAGINA: 1 DE: 9
DIRBCCION DB ADMINISTRACION UNIDAD JURiDICA
•^<^^\-.v
Manual de Procedimientos para la Proteccion de Datos Personales
Procedimiento de Resguardo de Sistemas
Clave: VST-DA-PR-013-01
Emision Original: 14-11-2006
No, Revision:
Revisidn:
- ^
Uconsa
NDICE DE PROCEDIMIENTO
Pagina
Objetivo
Politicas de Operacion
Descripcion de Actividades 7
Diagrama de Fiujo 8
Historiai de Cambios 9
FECHA: 14 DE NOVIEMBRE DE ^ 0 6 PAGFNA: 2 DE: 3
DtRECCidN DE ADMINISTRACION UNIDAD JURIDICA
rrrrjrr.t ii i .rr.rrrrrrr.jrt
Manual de Procedimientos para la Proteccion de Datos Personales
rt r.——r..rr..r^Lr^ jr^rrr.r.^v.rr.r^.^
Procedimiento de Resguardo de Sistemas
Clave: VST-DA-PR-013-01 —....- - - - —.-.-....-- —.—-—.-- ^— ....—.—--. -
Emision Original: 14-11-2006
No. Revision:
Revision: - - • - - • • • - • — - • - • • . ^ ^
-trj.r.jrr^-^.^.^..r——r^v^.^vrrr.rrr^vrrr.r^...rjt.
iconsa
OBJETIVO
Contar con ias medidas necesarias para ei resguardo de ios sistemas de datos
personaies y evitar que sufran alteracion, perdida o acceso no autorizado.
/
FECHA: 14 DE NOVIEIvlBRe 082006 PAGINA: 3 T)E: 9
OiRECClON DEADMINIS TRA CION UNIDAD JURiDICA
Manual de Procedimientos para la Proteccion de Datos Personales
Procedimiento de Resguardo de Sistemas
Clave: VST-DA-PR-013-01 No. Revision:
Emision Original: 14-11-2006 Liconsa
POUTICAS DE OPERACION
De los Responsables:
1 Autorizar expresamente a traves de un oficio, a Encargados y Usuarios el acceso a los sistemas, en los casos en los que no exista un instrumento juridico que los faculte para el desempeno de sus funciones.
Contar con una reiacion actualizada de las personas que tengan acceso a los sistemas.
3. Informar al Comite de Informacion el nombre de los Encargados y Usuarios.
4.
5.
Estabiecer las medidas de seguridad para ei resguardo de tos sistemas de datos personaies fisicos, ios cuales eviten la alteracion, perdida o acceso no autorizado.
En caso de detectar o ser notificado per los Encargados o Usuarios de la alteracion, perdida o acceso no autorizado, deberan ievantar el acta administrativa correspondiente, informando al area de Vigiiancia, Unidad Juridica, al 6rgano Interno de Control y a la Unidad de Enlace de la situacion presentada.
De las Medidas de Seguridad:
6
7.
8.
Contar con un espacio seguro y adeeuado para e documentos que contengan ios datos personales.
o fisico de los
Controlar el acceso fisico at iugar en donde se encuentran resguardados ios documentos del sistema con una cerradura de seguridad.
La Have de acceso sera resguardada por e acceso a elia los Encargados y Usuarios
y
Responsable de! ^sterna y soio tendran
FECHA: 14 DENOVIEM PAGiNA: 4 DE:
DtRECCiON DB ADMINISTRACION UNIDAD JURiDICA
Manua! de Procedimientos para la Proteccion de Datos Personales
rvrrrr.——rrrr.r..^....rrr.rrr^v.—^..r^
Procedimiento de Resguardo de Sistemas ^v^..^v..rrr.^..rr.^vrr..rr. r.^-j.^ r.^..r^v...^v——^r^
Clave: VST-DA-PR-013-01 No. Revision:
Emision Original: 14-11-2006 j Revision: Liconsa
9. Se debera contar con una bitacora de acceso, en la cual se registrara todos los accesos que se realicen at area, ta cual debera contener al menos la siguiente informacion:
a. Nombre det Responsabie, Encargado o Usuario que ingresa el area
b. Numero de nomina
c. Fecha de! ingreso
d. Hora del ingreso
e. Hora de salida
f. Razdn del acceso
g. Acciones realizadas
h. Si se extrajo algun documento:
1. Describir numero de expediente
2. Razdn por la cual se extrajo
3. Fecha de saiida dei documento
4. Hora de saiida del documento
5. Fecha de ingreso del documento
6. Hora de ingreso del documento r
y
i. Si se detecta alguna violadon a las medidas de seguridad
1. Antota ia incidencia detectada
2. Fecha del incidente
3. Hora dei incidente
y - ^
FECHA: 14 DE NOVIEMBRE Dt/2CQ6 PAGINA: 5 DE: 3
DIRBCCldN DB ADMINlSTRACldN UNIDAD JURiDICA
-rjrrr.rr—jr—.r—.rr—rr—r—r^r.rr^v^..^vrrr.rrr^.—rrr.r^v^.—rrrrr^
Manual de Procedimientos para la Proteccidn de Datos Personales
Procedimiento de Resguardo de Sistemas -t..rjrrr.r^-r.rrrrr.—rrr^Lrrr^^—jj
Clave: VST-DA-PR-013-01
Emision Original: 14-11-2006
No. Revision:
Revision:
s £••
Liconsa
De los Encargados y Usuarios:
10. Acatar ias medidas de seguridad definidas para e! resguardo de los sistemas de datos personales.
11. Registrar en la bitacora correspondiente, los accesos al area de resguardo de Ios documentos fisicos que contienen los datos personales.
12. Por ningun motivo podran retirar fuera de las instalaciones de la empresa o difundir informacion sin la autorizacion expresa del Responsable dei sistema de datos personales.
13. En caso de detectar alguna aiteracion, perdida o acceso no autorizado al area de resguardo de los documentos, debera notificario de manera inmediata a Responsable del sistema.
Del Comite de Informacion:
14. Tomara nota de los Responsables, Encargados y Usuarios de los sistemas de datos personales.
15. Supervisara que ia lista de Responsabies, Encargados y Usuarios de ios sistemas de datos personales se encuentre actualizada.
16. Tomara ias medidas necesarias en caso de aiteracion, perdida o acceso no autorizado a los documentos que contienen ia informacion de ios datos personaies.
FECHA: 14 DE NOVIEMBRE DE #006 PAGINA, 6 DE: 9
DIRECCION DE ADMiNISTRACION UNIDAD JURIDICA
^..rrr^vrrr rrr.rrrr^
Manual de Procedimientos para la Proteccion de Datos Personales
... ..—.--— ^..-..--..- - i-."_\-_"_\-.—.-A"^ 1-AT—I-.—AVAV.-."—v_t\—
Procedimiento de Resguardo de Sistemas .. ^.^vr..^..rrrr..rr..^r^ -rrr^-.rrr^
'MM ' Clave: VST-DA-PR-013-01 No. Revision 1-.-AX.-A\-I-.—_-_—.•_\—.-."—W.-.-A-—-_—.-A\-A"_W."_"—l_"_V."_li I—A-.-r.-_-A"_w."^
Emision Original: 14-11-2006 I Revision: 1-.-.—AV.-."—V—I
DESCRIPCION DE ACTIVIDADES
Paso Num.
^..rrrrrrrrrj^rrrrr^
1
6
7
— ..j.^ .r^-^vrr.rrrrj^-jrrrj.r
Responsable Actividad
del Sistema i Notifica al Comite de Informacidn la lista | j actualizada de los Encargados y Usuarios del I I acceso al sistema de datos personaies
Responsabie del Sistema
I r
^Informa autorizacion a los Encargados y| j Usuarios del acceso a! lugar de resguardo del los documentos que contienen ta informacion | de datos personales |
rr.jrrr.^v.-
Encargados y Usuarios del
sistema
I Cada vez que entren al lugar de resguardo de| j los documentos que contienen la informacion | I de datos personaies, se registran en la bitacora I de acceso I
Nombre y Clave del
Documento de Trabajo
rrr-rr—JU
Lista de Encargados y
Usuarios
Oficio
^vrjrjrrrr.r^^.
Bitacora de Acceso
ncargados y Usuarios del
sistema
Acatan medidas momento
de seguridad en todo Medidas de Seguridad
Encargados y Usuarios del
sistema
I Si detectan aiguna violacion a las medidas de| I seguridad, registran incidencia en la bitacora e| I informan de manera inmediata al Responsable | i del Sistemas
Bitacora de Acceso
-r^vr—r—r——..j—rr^ -rrrrrrrr—rrrr^
Responsable \ Supervisa cumpiimiento a las medidas de j del Sistema [seguridad y en su caso notifica al comite de
i informacion sobre las incidendas presentadas.
Oficio
..-....- - 1-.—.x.-_w.n r.—_"_"—v_\-_\
Comite de | Apiica ias medidas necesarias ante alguna j Informacion | incidencia presentada
1-A\-AX.—A\-_W_"^_VJ_
FIN DEL PROCEDIMIENTO
DIRBCCION DB ADMINISTRACION UNIDAD JURiDICA
^...jrrrr.jr^-.^..r..r^v.rrr...rr^vrrjr—jj
Manual de Procedimientos para la Proteccion de Datos Personales
Procedimiento de Resguardo de Sistemas
Clave: VST-DA-PR-013-01 No. Revision: ^ - ^ ^ ^ - • - - -
Emision Originai: 14-11-2006 \ Revision:
DIAGRAMA DE FLUJO
No
Prcporae?^a ai Coir\':i^ de Informacion a [ist3
actuaiizada de Encargados y Usuancs dei Sfstema ae
Dat05 Perscriales 1
I Informa autonzacion a ics
Encargados y Usuanos del acceso ai ^ugar de resguardo
I A
Reg IS ira n ngreso en IB bitacora de acceso
I B
Acatan medidas de seguridad en todo momerrto .
A- RESPONSASLH DEL SISTEMA B. ENCARGADOS Y USUARIOS
SiSTBM C. COM^Tfe OB INF0RyACi5N
D€L
c
Usta
oncio
iitacora
Documento
RegiS rs inoder^cia en bitacora e informa a
Responsabie de: SiSTema
I LB
Supervise medidas de V
segundad e '.r\fof^-^ s^ CG^i^ite de irAorrfiSCidfi
i -^ E
[ c 1 A
C^cio
i ante ia mc^de^Cia
presentada
•7 c
FECHA: 14 DE NOViEMBRE DE ^ 0 5 PAGINA-S DE:9
DIRBCCION DB ADMINISTRACION UNIDAD JURIDICA
I—.—.-TA-n-AVAV—I
Manual de Procedimientos para la Proteccion de Datos Personales
1-.-AV.-.T—IT.-.—AV."_"_V_V_-.^\-AV_\-."—I
Procedimiento de Resguardo de Sistemas ^v.r.rrr^v^-r^vrrr.^r.r^^vr.r.r^v..^v.r—.rr^v^^..r..—r.^—^-..r—.j
Clave: VST-DA-PR-013-01 No. Revision: ^^.jrrrr—rr^
Emision Original: 14-11-2006 \ Revision:
HISTORIAL DE CAMBIOS
Revision Num.
Fecha de Aprobacion Descripcion del Cambio Motivo (s)
rrrrjrrj^-r^vr.rrr^
25-10-2006 : Documento Nuevo
/ .*y-
FECHA: U DE NOVEMSRE DE 2006 PAGINA: 9 DE: 9
DIRECCION DB ADMINISTRACION UNtDAD JURiDICA
Manual de Procedimientos para la Proteccion de Datos Personales
^v.t II I rr.jr^-...jrrrrrrr—^vrrrrrr.^-^—rr^.^v^..rr.rrrrr.rrrrrrrrrrrr^r^
Procedimiento de Control, Registro de Asignacion y Baja de los Equipos de Compute
j j . r I I I I I I I • I I I I I I 1 I I I P I l l l l l l l l l l l l l l l l l l l l l l l l l l l l l l l l l l l l l l l l l l l l I I I l l l l i r i I I i i r i i i i i i . . - . - - . . . . - . . . . - — - . . . . ^ . . . - . . . - -
. ^ ^ ^ K ^ - . -ry .V V Clave: VST-DA-PR-013-02 No. Revision:
-trrjrjr^.^-r^vrrrr^.^vrrjrr..rr.rrrrr^vrrr^.^-rr^v^.^..r.^—rr.^vr^v.rrrr.r—r—^
Emision Original: 14-11-2006 i Revision:
FIRMAS DE AUTORIZACION
Elaboro:
esias stomas
Informaticos
vrjrjrr—..rr——ju
Lie. pranciBco Javier Madrid Lino Ti(utar de ia Unidad Juridica
Aprobo;
Lie. Daniel Aceves Villagran Director de Administracion
^vrj.^vrrrrrr
v—r^-rr^r^vrrrrr..rrjrrjrrjrrj.r^.j^-rrj-^vrjr -rrr.^vr.rrrrrt
Fecha de documentacion: | 14-11-2006 Revision numero:
Copia numero: Copia asignada a:
* • • • 1 rr-jrvrrrrr-rrrrr.!7V,ttt rrr.rrrr^'-^.
I Origina
^vr—rrrrr rrjr.jrrrjt
FECHA: U DE NOVIEMBRE 0f?- 2006 PAGiNA;'1 DE:S
DIRECCldN DE ADMINlSTRACldN UNIDAD JURiDICA
rt .—r.rrrr—jjrr^ -r.rrrrrjr^v—^jr.r^
Manual de Procedimientos para la Proteccion de Datos Personales rrr.^-r.rrr..r—r^ jrrrrr.^^v—rrr. ^vj^-.rr.rr—r. v^..rr.rrr^v.r—...^v.^...—rrr.rr.rrr^.^vr—^ -—.rrr^vt
rrr.rri
Procedimiento de Control, Registro de Asignacion y Baja de los Equipos de Computo
I I I II III I II II I I I I I I I II I II I I II I I I I II I I I II I I I I I I I I I I I I I I 1 1 I I I I . - . - ~ 'r. ^ 1 1 ' " i . " i ' " i ' ' ' i I I I I I I I I I I I I I i ' - • —
Clave: VST-DA-PR-013-02 I No. Revision:
Emision Original: 14-11-2006 \ Revision: rr.jrrrrrr.^-rrjr.rr^v.^vrjrrrrr—r—rrrrrrrrrrrrr—rjr^ rrr.' ' tttrr^.—rjr..j-rjrrrrrrr.rrrr—rr.r.—rjj
INDICE DE PROCEDIMIENTO
Pagina
Objetivo
Politicas de Operacion
Descripcidn de Actividades 6
Diagrama de Flujo 7
Historiai de Cambios 8
FECHA. 14 D£ NOViEMBRSDE 2006 PAGIN42 De:S
DIRBCCldN DB ADMINlSTRACldN UNIOAD JURIDICA
^v.rrjr.r.—r.r——rr—r—^^rrjrj—rrj—rr^
Manual de Procedimientos para la Proteccion de Datos Personales
1-.—.-.-I^\XA-.-.-.—.-.-AVAW.-.-A-_"_"J_
Procedimiento de Control, Registro de Asignacion y Baja de los Equipos de Computo
• l l l l l l l l l I I I - I I I i i i i i i i i i i i i i i i i i i i i i i i i i i i i i r r i i i i l l l l I I I I I I I I I ^ . ^ ^ — . ^ - — . - . . ~ . - - — . . . - i _ ' i ' i ' i i i i i i i i i i i i i i i i i - ^ _ • _ _ . ' . .
Clave: VST-DA-PR-013-02 1 No. Revision: -.r.r.rrr^vrr..r^vr^
^..^t I trrrr.r.r.r.rrrr.rrr^-rrrr^r^
Emision Original: 14-11-2006 j Revision: ^..rrrrrrr—jr.^r—rr^
OBJETIVO
Contar con los mecanismos necesarios para controlar los equipos de computo que
son utilizados para ei manejo de sistemas de datos personales.
^
^ • - " •
FECHA: 14 DE NOViEMBRaOE 20C6 PAGiN* 3 DE. S
DIRECCION DBADMimSTRACidN UNIDAD JURiOlCA
Manual de Procedimientos para la Proteccion de Datos Personales
^vrr—r—r—rrr.rr.—r.—rr-rrrr.—rrrrr—r^r—r^Lrr^Lrrr.r^
Procedimiento de Control, Registro de Asignacion y Baja de los Equipos de Computo
; Clave: VST-DA-PR-013-02 | No. Revision:
i Emision Original: 14-11-2006 | Revision: Liconsa
-rrr.r^.—r—rr.rr. t j^-—r—r^v.r.r.rrrr^vrjr.
POLITICAS DE OPERACION
De los Responsables de Sistemas de Datos Personales:
1 Seran los encargados de lievar ei controi de los equipos de cdmputo Encargados y Usuarios que operan sistemas de datos personales.
OS a
2. Seran los responsables de supervisar el tramite de asignacidn y baja de los equipos de computo de Usuarios que manejen sistemas de datos personales, para io cuat contaran en todo momento con el apoyo del area de soporte tecnico.
3. Seran los responsables de llevar un registro del contenido de los equipos para facilitar ta asignacion y baja.
De la Seguridad de los Equipos de Computo que contengan Sistemas de Datos Personales:
4. Los equipos que contengan informacidn de sistemas de datos personaies, deberan ser protegidos en su acceso, a traves de contrasenas que deberan ser cambiadas cada tres meses, apoyandose en ei area de Mesa de Ayuda de ia Subdireccion de Desarrolio de Sistemas Infonnaticos para lo siguiente:
a)
b)
c)
d)
En Oficina Central, Metropoiitano Norte, Metropoiitano Sur y Valle de Toluca, se aplicaran las politicas de seguridad de acceso remote {Zenworl<s) para obligar at Usuario a cambiar su clave de acceso ai sistema operativo cada tres meses. j
En ei resto de los Centres de Trabajo, esta politica se aplicara utilizando las' facilidades del editor de las politicas de Windows.
En todos los equipos que contengan sistemas de datos personales, ademas de lo anterior, se debera activar e! protector de pantalla con clave de acceso.
r y
/
Adicionalmente, se deben utilizar los dispositivos exteciios de seguridad que ie sean proporeionados a los usuarios responsables del ^quipo,/Como pueden ser: memorias flash, tokens, etc.
FECHA: 14 DE NOVIEMSRE DE 2000-PAGINA; 4 DE; S
DIRECCION DB ADMINlSTRACtdN UNIDAD JURiDICA
rrrrrr^..^..rr— I I I I I I I l l l l l l l l l I I I I I I I I I I I I II I I.I I I II I - ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^T-I-I--I-I-I--I--I—I--I-I-I-I--I--I--I--I—I-I-I—I--I—I--I—I--I-I-I-I-I—IT—I-I-I—I—I-I--I—I—I—i-i-^
Manual de Procedimientos para la Proteccion de Datos Personales
^rrr..r..rrrrrr.r^-rj-rrrrrr.^..rrrr——rj
r - -
Procedimiento de Control, Registro de Asignacion y Baja de los Equipos de C
- • . y ^ . . . . . • . . • • • . • . • . • . • • ^ . . - . • . — . • • • • • • • • • • • • • •
r
I No. Revision: rr.r..r.rrrrr.r.r^..rr^^vr—..—.rrr.—.rrr.rr..r..r..r.rrrr...—rrj
Clave: VST-DA-PR-013-02 -I-.T—A—A\-_\-."_V—W.-."— rtvrr—^..rr..——
Emision Original: 14-11-2006 | Revision:
e) Cuando se reasigne un equipo de cdmputo, se debera apiicar la politica que tiene impiementada la Subdireccion de Desarroilo de Sistemas informaticos, la cuai consiste en re formatear el equipo y cargar una nueva imagen que contenga todas las herramientas basicas para su operacion.
Del Usuario de los Equipos de Computo que contienen Sistemas de Datos Personales:
5.
7.
8.
9.
Sera responsable de reaiizar e! tramite de baja y alta en su caso del equipo bajo su resguardo, considerando las medidas de seguridad indicadas en el punto anterior.
6. Sera su responsabilidad cambiar las claves de acceso cada tres meses
Sera su responsabiiidad el custodiar las claves de acceso y de! mal uso que a estas se tes pueda dar, para lo cual contaran en todo momento con el apoyo del area de soporte tecnico.
Debera informar ai Responsable de! Sistema, cualquier cambio que se realice en el contenido del equipo de computo asignado, para que este a su vez, mantenga actualizada la lista de contenido de ios equipos que operan sistemas de datos personales.
En caso de que se presenta aiguna incidencia de acceso no autorizado al equipo de computo, debera ser reportada inmediatamente ai Responsable del Sistema, para que se tomen las medidas necesarias.
FECHA; U OE NOVIEMBRE DE 2Q06 PAGiNA: 5 OE: 3
DIRECCION DE ADMINlSTRACldN UNIDAD JURIDICA
•—A-r ^w_-.-^j_-_vj_ ^ ^ - " • - -
Manual de Procedimientos para la Proteccion de Datos Personales
i-^
Procedimiento de Controi, Registro de Asignacion y Baja de los Equipos de Cdmputo
i Clave: VST-DA-PR-013-02 I No. Revision:
Emision Original: 14-11-2006 i Revision: ^v.rrr^vr^vrrjrrrr^vrr.rrr.t iii tr—r.—rrrr^-.t t iii r..rrr.^r.^r^
^vrr^.—rrr—^
DESCRIPCION DE ACTIVIDADES
Paso Num.
1
p.n-.-A\Ti
6
7
^vr.rrr^
rrrrr^vrrrjj tjr—rjr^^r^vrrrrrjrrrrr^-j.r -—rr^vrrrrrrrrrrrr^r^
Actividad
Nombre y clave del
documento de trabajo
.r.r—.rrjir—r.jjrjj
Responsable del Sistema
Elabora y mantiene actualizado el inventario de \ equipos de computo que operen sistemas del datos personaies |
nventario
-rrrrrr—rrrrj.rrjrrr—r—rrrrrr.—rvrrrr—J—,—rrrr.—r^
Usuario de Equipo
i Apiica medidas de seguridad en la operacidn de! | I equipo, en caso de requerir apoyo, levantal I reporte a la Mesa de Ayuda
Reporte de Servicio
3 I Mesa de Ayuda | Atiende reporte de servicio de acuerdo a los I estandares establecidos
^ - • — • • • — — • . . — . - . ^ - . — . - . . . -
Magic
Usuario de equipo
r
\ Evalua servicio, libera reporte y caiifica Reporte de Servicio y
Encuesta de servicio
Usuario de equipo
j Notifica ai Responsable dei Sistema en caso de I cualquier cambio al contenido del equipo
I nf o rme
Responsabie del Sistema
Reporte de Servicio
I Existe alta o baja de algun equipo de computo, I en su caso se apiica la politica de la t I Subdireccidn de Sistemas informaticos para | Solicitud y I reasignacion de equipos y el procedimiento | Captura de i establecido por ei Departamento de activos Fijos | movimientos de
I bienes muebles t—r—^rr^rr..rj.^j.r—rr^vj^^-r.rrr.——rrr..r^-jrrr.jrrjrt ^vr—.tttttt rrrr—rrjrjr.rr.tttt rrrt ^..rr..—j.r^.—r.rjrrrjrr^
Usuario de equipo
jCada tres meses debera cambiar las calves de| 'acceso
DIRECCldN DE ADMINISTRACION UNIDAD JURIDICA
^r^..rr.r^.—..rr.r..^v.rrrrr..r—r.^vr^-^vrr—rr— r—.^..rr..r^..r^v.rrr—r—rrr——...rr——^..rr—r—rr' ^^^^^ _ — _ _ I I I I I I I I I I I I I iiii^^^ — - ^ - - - - - IIIIII II III .11 I I —.^.rr..r^.r^r.rrr—r—rrr—...rr—^.rr—r—rj—— —-- -
Manual de Procedimientos para la Proteccion de Datos Personales
rrr..^.—.rrr..r— rr..—rrrrrr-—rj I-r."—-AX.-AV.-."—V.-—"Jl
Procedimiento de Control, Registro de Asignacion y Baja de los Equipos de Computo
I I I I I I I II I I II I I I I II I I I I I I I I I I I I I I I I I I II I I I I I ^ II II I II II i r I I I I II II I I I II i r I II I I I I I I I I I I I I I I I I I II I I ~ _ • I I _ ' I 'i II
Clave: VST-DA-PR-013-02 No. Revision: ^vjr.r^vrrr...rr.r.r..r—.rr^.^—rrr—r^rj.r^
Emision Original: 14-11-2006 \ Revision: -rjr.r.rrr^-r.r—r—rjj—r—^r^vrr^ ^v.t I trrrrr—jrr.r—rr^r^
DIAGRAMA DE FLUJO
inicio del Proceso
i Eiabora y mantiene
actuaiizado el invertam de equipos
Inventario
^
^'
^
RBSPOHSABIE DBL SISTI ENCARGADOS Y USUARIOS SISTEMA MHSA DS AYUDA
lEt
Notifica al Responsabie del Sistema en caso de
cualquier cambio ai ntenldc del equipa-
I Apiica pc^;tica de aita o
baja de e^^uipo
6
? A /
^
/
Cada. tres meses deters cambiar ias caives de/
acceso
Infcrme
Mcvimi nr XL
ReDGi'te
/
FECHA: 14 DE NOVIEMBRE DE 2006 PAGINA: 7 DE: 8
DIRECCldN DB ADMINISTRACION UNIDAD JURIDICA
I—.-.—A-A-^AWJi ^vrrr^vrrrr.rrrrr.—jrjr^
Manual de Procedimientos para la Proteccion de Datos Personales
^v^vrj.rr..—rr—r^-rr^vrr.rrrr^rjrtr^v.rr^
Procedimiento de Control, Registro de Asignacion y Baja de los Equipos de Computo
Clave: VST-DA-PR-013-02 i No. Revision: I—A-.-.-A-_"—I
Emision Original: 14-11-2006 j Revision: rrrrrr-rrry——-^—
HISTORIAL DE CAMBIOS
k r
Revision Num.
Fecha de Aprobacion Descripcion del Cambio
rvrrrr—jr^
00 Documento Nuevo
Motivo (s) ^v—rrr.jr—^
^..rrr^vrrr—r^rr^r—^vrj—rjj
rrrttr^rjrrr—jjr—.
.n •-_\w_r_rj_w^
lMrj.rrjjrrrr^
^vrrrrr^r—r^
^v—rrr—r——^ rrrrrrrr—r—r—^r.-
^ ^
/
/
FECHA; 14 DE NOVIEMBRE DE 20G6 PAGiNA: 3 DE: a
DIRBCCION DB ADMtNISTRACidN UNIDAD JURiDICA
-rrr—rr—^rrrr^r^
Manual de Procedimientos para la Proteccion de Datos Personales
^..rr..rrr.^vj.r.^...rr.r.^r——rr^
Procedimiento de Auditoria y Rastreabilidad de Operaciones
—rr^..r rrrrrr—rr.rr—^
Clave: VST-DA-PR-013-03 No. Revision
Emision Originai: 14-11-2006 \ Revision:
FIRMAS DE AUTORIZACION
-rrr—j—rjj
Elaboro:
Subdirector de Desarroito de Sistemas Informaticos
Reviso:
Lici Francisco Javier Madrid Lino ituiar de la Unidad Juridica
Lie. Daniel Aceves Villagran Director de Administracion
+T^ rr—rrr.r^v--. ^..rrjr.——j—r^v^ ^vrjr.^vrr.
rvrrrr—r^vjr.rrr.
Feciia de documentacidn: i 14-11-2006 Revision numero:
Copia numero: Copia asignada a:
I Origina
DIRECCldN DE ADMINlSTRACldN UNIDAD JURiDICA
^.^..r^-.^v..rrrr.rrr.rr.rrrr.r^j.rr^ ^vr^-rr.r.rrrr-
Manual de Procedimientos para la Proteccion de Datos Personales
yrr.-.
Procedimiento de Auditoria y Rastreabilidad de Operaciones
^vrrrrj.rr.rrr..r—rrjj.r—rj.r^
Clave: VST-DA-PR-013-03 No. Revision: Emision Original: 14-11-2006 i Revision:
I—A\-A"_-.—.-A-.-."_V."_"J—"^
^vjrj.^vrrrrr.—rrrjj
INDICE DE PROCEDIMIENTO
Pagina
Objetivo
Poiiticas de Operacidn
Descripcion de Actividades 7
Diagrama de Flujo 8
Historiai de Cambios 9
FECHA: 4 DE NOVll^^BRE DE 2^ PAGFNA: 2 Di
DIRBCCldN DE ADMINISTRACION UNIDAD JURIDICA
Manual de Procedimientos para la Proteccion de Datos Personales
Procedimiento de Auditoria y Rastreabilidad de Operaciones
^w.-1—.—Axm—.-.-.—A-AV.—_-r.—A"_v.-A-.-.-AV_-A"_\-A\-."j_
Clave: VST-DA-PR-013-03 No. Revision ^--rrrrrrrrr^vr..rrr—rr.—r—rrr—r—^ 1-A"_V.-_-A-A-.-_V^—VAVJJ
Emision Original: 14-11-2006 \ Revision: Liconsa
OBJETIVO
Contar con los mecanismos de auditoria y rastreabilidad de operaciones realizadas
en ios sistemas de datos personales.
y /
/
< ^
fECHA: U DE NOVIEMBR^E 2006 PAGINA'5 DE:S
DIRBCCION DB ADMlNiSTRACiON UNIDAD JURiDICA
. • • • m i l I " I I I I ' r r - r — r ^ - r • • • _ • • r.rrrr.r-r
Manual de Procedimientos para la Proteccion de Datos Personales
rr^-rrr^..rrrrr—.rrrrrrrr—rM .rr-—Lrrr- — j—rjrr.rjrrr-.rrrrrrrr-rjj-Lr rrrrrrrrrrrr-rrj "
Procedimiento de Auditoria y Rastreabilidad de Operaciones
l l l l l l l l l I I i r . ^ ^ - . - — — - - — - . . . . . . . . . _ - _ - - _ - ^ • ^ I I I . ' . ' . ' . ' ' ' ' " ' I I I I I I I I I I I I —1 ^T-.-_-A\-—•_V_-.^Ji
J^.v^ I Clave: VST-DA-PR-013-03 No. Revisidn:
Emision Original: 14-11-2006 \ Revision:
POLITICAS DE OPERACION
Del Responsable del Sistema de Datos Personales:
1.
3,
4
5.
6.
Validar que el sistema de datos personaies cuente con pistas de auditoria para dar seguimiento a eventos, en caso contrario, debera soiicitar a la Subdireccidn de Desarroilo de Sistemas Informaticos que ia incluya.
2, Analizar las bitacoras o pistas de auditoria y revisar que no existan operaciones no autorizadas.
Notificar al Comite de informacion, para tomar las medidas necesarias, en caso de detectar cuaiquier alteracion no autorizada, Debera conservar las bitacoras como soporte documentai para deslindar responsabiiidades.
Depurar las bases de datos que contiene la bitacora y en su caso, liabilitar o desfiabilitar la funcion, para evitar saturaciones que perjudique ei desempeno dei sistemas.
Revisar que todas las medidas de seguridad dictadas en ei presente manual, sean apiicadas de manera adecuada por los Encargados y Responsables de los sistemas de datos personales. Debera hacer revisiones ai menos cada tres meses.
Utilizar una bitacora de accesos si el sistema no cuenta con pistas de auditoria o estas no contienen toda la informacion requerida para garantizar accesos controiados., la cual contendra la siguiente informacion;
I. Datos completes del Responsable
II. iVIodo de autentificacion
ill. Fecha y hora en que se reaiizo el acceso, o se intento el mismo
IV. Sistema de datos personales accedido
V. Operaciones o acciones llevadas a cabo dentro del sistema
Vi. Fecha y hora en que se reaiizo la salida del sistema
OIRECCldN DE ADMINISTRACION UNIDAD JURIDICA
I I I ' ' ' . . ' . ' . . ' ~ ' ' I I I ' I I I 11 I 11 I I I 111 I r r . — ^ - — j r r — 11 i i i i i i i 11 i i 11 i i i i i i i i i i i ^ . . -. - . ' . . ' . ^^ - - - . - . — — J-fc i i i i i i i i i i i i i i i i i i i i 11 11 i i r . — r . r . . — . 11 i i i v— 11 11 i i 11 i i 11 i i i i i i i i i i i i i i i i i i i i j — i - i — P I - P I
Manual de Procedimientos para la Proteccion de Datos Personales
- ^ - i - ^ _ - ^ ^
r--rr.rrrrr.——rr^r—rM — - r r . ^ ^ r . — r r r - r _• _• •_ ^ m . n i _. m .' .- •• • • • i i i ' i i ' ' i i '
Procedimiento de Auditoria y Rastreabilidad de Operaciones _ ^ ^ ^ ^ ^ _
I II I II II I I II I I I I I I I ,Ki ,1 , , , , , , , , , l l l l l t .^-^.. .r .r j-r .rrrrr^jjr j j j j jr- ' . 'm' n i i i m n i n n i i i i |i iJ_i_|_i_ ' ' " I I I I I I I I I I rr..^^^^-— i i i i i ii i i i i i ii i i i i i i i i i i i i i i i i i |i i i i i i • i • i i i ii ii i i i i i
Clave: VST-DA-PR-013-03 No. Revision: ^-.j—r.rrrrr— rrrr^..^vrrr^vr^rr^rj .j-rir—-
Emision Original: 14-11-2006 [Revision: Liconsa
De los Sistemas de Datos Personales:
8
9
7. Todo sistema informatico para el manejo de datos personaies y que se encuentre en operacion, debera contar con pistas de auditoria o bitacoras de acceso a ias bases de datos.
Las pistas de auditoria deberan estar encriptadas para evitar que personas no autorizadas tengan acceso a esta informacion.
Las pistas de auditoria para evitar saturacidn en las bases de datos, deberan contar con mecanismos de depuracion y desactivacidn de ia funcion.
10. Toda transaccion realizada, sea por personal autorizado o no debera crear un registro de seguimiento.
De Ios Encargados y Usuarios de Sistemas:
11.
12
13.
Si el sistema no cuenta con pistas de auditoria o estas no contienen toda la informacion requerida para garantizar accesos controiados, entonces debera utilizar una bitacora de accesos, la cuai contendra la siguiente informacion:
I. Datos completes del Encargado y Usuario
II. Modo de autentificacidn del Encargado o Usuario
III. Fecha y hora en que se reaiizo e! acceso, o se intento el mismo
IV. Sistema de datos personales accedido
V. Operaciones o acciones llevadas a cabo dentro del sistema
VI. Fecha y hora en que se reaiizo la salida dei sistema
Son responsabies de ia correcta operacion dei sistema, por to cua momento garantizar la integridad de ia informacion.
Es su responsabilidad ia custodia de las ciaves de acceso y cua!qt|ii Ie den a estas.
eberan en todo
uso que se
, * -
4 DE NOVEMBRE DE 2006 PAGiMA: 5 DE: 9
DIRECCldN DE ADMINlSTRACldN UNIDAD JURiDICA
/
rr.r.r—rr.^vrrr.r^.—.^vr^
msmim' ~-
Manual de Procedimientos para la Proteccion de Datos Personales
^..jr^r—rr.rrr.^vrr—rr——^v^r^ rrrr—rrrrrrr—r.^vr^^rrr—r—^v.—rr^r—^
Procedimiento de Auditoria y Rastreabilidad de Operaciones
1-.—.^•--.-AWA-AVAW^AX.
^ —...-...-. —- ...-
Clave: VST-DA-PR-013-03 No. Revision: •T.-A\-_^_-AW_^_l_VJ_ ^v^..r.jrjrrrrr..^r—r^
Emision Original: 14-11-2006 JRevision: Liconsa
^vrrr.rrrrrr.rr^vr—^,—r—^
14. En caso de detectar cuaiquier aiteracion a ia base de datos sin autorizacion reportarlo de manera inmediata al Responsable del Sistema.
15. Como parte de sus funciones, deberan apoyar a! seguimiento a transacciones no autorizadas y preventives al respecto.
Responsabie del sistema, para dar apiicar mecanismos correctivos y
. • -
^
/ /
••
FECHA: U DE NOVJEMSRE DE 2C0i PAGINA; 6 DE;
DIRECCldN DB ADMINISTRACION UNIDAD JURIDICA
r—r..... II trrrr^ ^ \ - . - A - A - . — - • - • J l
- \ ^r.-.rf^ ' ^- >
Manual de Procedimientos para la Proteccion de Datos Personales
^vjr.rjrr.rrrj.rrt .j.r rrr——r—rrrrrrr——rr^-r.rrr—.j^-.jrr^vr^r—^ -
Procedimiento de Auditoria y Rastreabilidad de _ _ Operaciones
Clave: VST-DA-PR-013-03
Emision Original: 14-11-2006
^.r..rr.rjrrjrr ^^jrrrr^r—^^vrr^
No. Revision:
^v—rrrrrtr
DESCRIPCION DE ACTIVIDADES
vrrrr—r^v^
Paso Num*
rrrrjr.rrr—rrr^
Responsable Actividad
1
2.
3.
4.
5.
6
7.
Responsable Encargado y Usuario del
sistema
Nombre y clave del
documento de trabajo
Si el sistema no cuenta con pistas de auditoria o estas no contienen toda la informacion requerida I para garantizar accesos controiados, entonces | debera utiiizar una bitacora de accesos
rrrr^..rrrrrr^r—r^rj
le dei Sistema
Encargado y Usuario de!
sistema
Anatiza ias bitacoras o pistas de auditoria, si encuentra aiguna anomalia ie da seguimiento con apoyo de ios Encarga
analisis Apoya en el analisis de detectadas en tas bitacoras
las incidendas i
Responsabie del Sistema
informa sobre ias incidendas y ei resuitado del anaiisis al Comite de Seguridad
--t"-'—
Comite de nformacion
Apiica en su caso ias medidas correctivas y; preventivas correspondientes
Responsabie | Depura periodicamente las bases de datos del Sistema I
rrr—rrrjrj^.jr^rjj
ie dei Sistema
A! menos cada tres meses revisa e. cumplimiento de las medidas de seguridad | aplicables para la proteccidn de ios sistemas de | datos personaies
— ^ ^ - ' ^ - ^ ^ ^ ^ ^ ^ ' - I I I I I I I I I I I I I I I I i i 1 1 I I I 1 1 I I I I I I I ^ ^ - - ^ . ' . ' . . '
FIN DEL PROCEDIMIENTO • ~ ^ ^ . . . - . — — . . — . . - . - . . . ^ . . . - . . . . - . - . ^ - . . . — . . - . . . . -rrr^-rr.—rr. r—rj^-.—^vrrrj—rrr—jrj.rjj
Bitacora de accesos
Bitacoras de Incidendas
-r^.—rrrrrr
I nf o rme
^vjrrrr^vr.
Lista de Chequeo
FECHA; U OE ^iOVlEM8RE OE 2GC6 PAGfNA; 7 DE; 9
DIRECCION DB ADMINtSTRACldN UNIDAD JURIDICA
-r.r^-r.rrrr—rr.rrrjrrj.rjj
Manual de Procedimientos para la Proteccion de Datos Personales
-rr.r..r—r.——r^
Procedimiento de Auditoria y Rastreabilidad de Operaciones
h rj-—j-rrj-—j-rj-r-r.---^—^—-^ r" h . - i - . u _ i i i i
Clave: VST-DA-PR-013-03 ^..r.t I trr—rr.rrrrr.rr^r^
Emision Original: 14-11-2006 -rr.rrrrrrr^vr—r^r^r^r^
No. Revision:
Revision: -rrr^.—r.r^vjj
DIAGRAMA DE FLUJO
No
inicio det Proceso
Apoya en el analysis de las incjdencias detectadas
B
^
B, £HCAHOAOOS Y USUARlOJ SIST6MA
c^ CQUtri DE mfORUAOdn
DEL
. - '
informa sobre ias ifK;idendas y el resuitado
A
Apiica :as medidas con^ctivas y preventivas
Depura periodicamente ias bases de datos
6 J
cada tres meses r v^sa el cumplimiento de las medidas
de seguridad
7
Informe
FECHA: U DE NOVEMSRE DE 20G6 PAGFNA: e DE: 9
DIRBCCION DE ADMINlSTRACldN UNIDAD JURIDICA
Manual de Procedimientos para la Proteccion de Datos Personales
Procedimiento de Auditoria y Rastreabilidad de Operaciones
' * ' ' l l l l I I I I I I l l l l l I I I I I I I I I I I I I I I I I ^ . - . ^ — . . - . - . . . - - ~ - . ' . ' ' . . ' . '
Clave: VST-DA-PR-013-03 ^.^v^ rr^v..rr—r—^r^
No. Revision:
Emision Original: 14-11-2006 I Revision ^— . —-... - - - -. --..- -...—.- ^vrrrrrr—rrrr^LT^
HISTORIAL DE CAMBIOS
Revision Num.
00
Fecha de Aprobacion Descripcion del Cambio Motivo (s)
] Documento Nuevo rrrrrrrrrr—rr^v—jr—r^ i -A^- \w_ i r-^-ii rrrr——rrr—r
^v^.—rjrrrrrrt
^..r.tt I I r.rr.rr—^ V
n r*f
-rrrrr—rjr.r^ ^vrrrrrrMr—^r^ ^..r——rr.rrrr^r^
I ; r > r 1 r
r t
I -r > r '
^ i > 1 > 1
f 1
f i I i L ' 1 i 1 1 1 1
FECHA: 14 DE NOViEMBRE DE 20' PAGINA: 9 DE:
DIRBCCldN DE ADMINlSTRACldN UNIDAD JURiDICA
—r—rr^ 1-AX.-A-AV-—AV—I -rr. I tt—jrr.—r.r——^
Manual de Procedimientos para la Proteccion de Datos Personales
^..rr—.^vrr—j.r^ -rr.rjrjrrrr——^ I—.—.—AV.-AV-V-^—•Jl
Procedimiento de Notificacion, Gestion y Respuesta ante Incidentes
Clave: VST-DA-PR-013-04 No. Revision: I—A^\-.- .-AVAW—fJ" 1-.---A-A-.-A^-\-AV-^—•Jl
Emision Original: 14-11-2006 \ Revision:
FIRMAS DE AUTORIZACION
^...^vrr.—^
gfesias Subdirector de Desarfcllo de Sistemas
informaticos
Reviso:
ic. Francisco Javier Madrid Lino Titular della Unidad Juridica
Aprobo:
ic. Daniel Aceves Villagran Director de Administracion
Fecha de documentacidn; Revision numero;
Copia numero; Copia asignada a:_
DIRECCION DE ADMINISTRACION UNIDAD JURIDICA
Manual de Procedimientos para la Proteccion de Datos Personales
^v^.^^..rj.^-.r.^-^-.—^rj—r—r.rr..rrrrr—rrr——r—r.rrr——^
Procedimiento de Notificacion, Gestion y Respuesta ante Incidentes
Clave: VST-DA-PR-013-04 No. Revision:
Emision Original: 14-11-2006 ; Revision:
INDICE DE PROCEDIMIENTO
Pagina
Objetivo
Politicas de Operacion 4
Descripcion de Actividades 6
Diagrama de Flujo 7
Historiai de Cambios 8
ECHA' 14 DE NOViEMBRE DE 2006 PAGINA: 2 DE; £
DiRECCidN DB ADMINlSTRACldN UNIOAD JURiDICA
5 ^ : 1 ^
rrrrrrr^...-
Manual de Procedimientos para la Proteccidn de Datos Personales
.J j—rr..rr^..j-r..r^vr^v..r. t t ..rr.rrrrrrrr—r^ I—.-.—.-A\X.X.^W.--^—V.-AVJ.
Procedimiento de Notificacion, Gestion y Respuesta ante Incidentes
^vrrr.r^-^v^..rj^—jr..r.r—..r.r^v—rr^ -rrrjrrr^vr.jrr^r^v^
Clave: VST-DA-PR-013-04 No. Revision: ^v.r.rr—rj^-^-.rr.- ^.^vr^vrr.r^..r—. .^v.——r^
Emision Original: 14-11-2006 i Revision Uconsa
rr...r.rr—^
OBJETIVO
Contar con mecanismos de gestion ante incidentes que se presenten con los
sistemas de datos personales.
r
y
FECHA; U DE NOVIEMBRE DE 2C06 PAGINA; 3 DE; 3
-^^^
Of: r:.ClON DB ADMINISTRACION UNIDAD JURiDICA
^v. I I I r.r.rr.r^v^.—^-rr.—r.—^
Manual de Procedimientos para la Proteccidn de Datos Personales
Procedimiento de Notificacion, Gestion y Respuesta ante Incidentes
rrrrj.^..rr.rrr.rrr^r^v^
Clave: VST-DA-PR-013-04 No. Revision: ^...j^—. I I t .rrr..rrrrrrrrrjj -rjr.r.rrrr^vr.t t ttj^-..r..rrrrr^vr—r^v^
gmision Original: 14-11-2006 \ Revision:
POUTICAS DE OPERACION
Del Responsable del Sistema de Datos Personales:
1. Supervisar que la bitacora de registro de incidentes sea requisitada adecuadamente por los Encargados y Usuarios del Sistema.
2. Analizar conjuntamente con el Encargado dei sistema, el impacto de los incidentes presentados.
3. En caso de que aiguno de ios incidentes sea grave, debera notificario de manera inmediata ai Comite de Infomiacion.
4. Es su responsabilidad desarrollar ias medidas correctivas y preventivas correspondientes, con ei apoyo de los Encargados y Usuarios del sistema.
Del Comite de Informacion:
5. Analizara conjuntamente con el Responsable del Sistema, el impacto del incidente
6. Gestionara las medidas necesarias para notificar a los involucrados o afectados.
7. Tanto el area de Comunicacion Social como el Responsabie del Sistema, aplicaran las medidas de notificacion y gestion que se consideren convenientes para notificar a los afectados.
^ FECHA: 14 DE N0V1EMBRB DE 2006 PAGlf*,: 4 DE: 8
DIRECCldN DE ADMINlSTRACldN UNIDAD JURIDICA
^•-V.-.^_V_VJ_V_^-^ ' ^vr.—rrr.^v—r..rr.rrrjjrr^v—r^^rjjrjj ^..r..r.r^rrr^vr^
Manual de Procedimientos para la Proteccion de Datos Personales
yr—rrr.rr^vrrrr^ ^vj.rrr——r--^-^
Procedimiento de Notificacion, Gestion y Respuesta ante Incidentes
-rjrrr^v..j
Clave: VST-DA-PR-013-04 No. Revision: -rjrrrr.r^vr.r.rr.r.^r^
Emision Original: 14-11-2006 I Revision:
De los Encargados y Usuarios de Sistemas:
8 Son responsables de registrar en ia bitacora correspondiente todos los incidentes que se presenten en la operacion y administracion de los sistemas de datos personales.
9. Deberan registrar en dicha bitacora;
o Los procedimientos realizados para la recuperacion de los datos
u ndicar la persona que resolvio e! incidente
o La metodologia aplicada
o Los datos recuperados
'U Ei impacto dei incidente
10. Debera reportarlo de manera inmediata al Responsabie det Sistema.
fECHA: 14 DE NQViEJ^BRE DE 2005 PAGfNA; 5 DE; B
DIRBCCION DB ADMtNISTRACidN UNIDAD JURiDICA
jr—.r ^v^—.^-rrrr..^-r.r..^r^
Manual de Procedimientos para la Proteccion de Datos Personales
Procedimiento de Notificacion, Gestion y Respuesta ante Incidentes
^v.^v^vr...rrr—r—.——^r—r^v.r^
Clave: VST-DA-PR-013-04 No. Revision:
Emision Original: 14-11-2006 IRevision:
DESCRIPCION DE ACTIVIDADES
-rr^r—rrrr^r^vr—jr.j
Paso Num.
8
9.
Responsable
ncargado y Usuario del
sistema
Responsable det Sistema
Encargado y Usuario dei
sistema
Actividad
Reporta incidente a! Responsabie del Sistema
1-.—An-.^^_\-AVAV.-_tv—I
Nombre y clave del
documento de trabajo
Analizan ei incidente, determinan ei impacto y| ias acciones de recuperacion
10.
11.
12.
13.
Responsabie del Sistema
Comite de nfonnacion
Informa sobre Informacidn
el incidente al Comite dei
Gestiona ias medidas para notificar a iosj afectados i
Area de Comunicacion
Social
e del Sistema
Encargado y Usuario dei
Sistema
i Aplican medidas de gestidn y notificacion a I afectados
OS
r—jrrr.r.rr^..rrj—rj.r—^rjrjrrj—rrrrr^r^Lrrr—r.^rj.r^ ^^.. — .- -
Registran ei correspondiente
incidente en ia Bitacora I
^ —.—-.. —...—...—.- . .... —..-.— .—
FIN DEL PROCEDIMIENTO ^vjr.——rr.rrrjr—rrr.
Informe
Bitacora
FECHA: 14 ^E NQViEMBRE 06. 2006 PAGFNA; 6DE: S I
DIRECCldN DB ADMINlSTRACldN UNiDAD JURIDICA
Manual de Procedimientos para la Proteccion de Datos Personales
^vrj^—rr^..rrrr—.rr—^
Procedimiento de Notificacion, Gestion y Respuesta ante Incidentes
Clave: VST-DA-PR-013-04 1-A-A-A-.-A\-.—^•_-_W_-A^J_
Emision Original: 14-11-2006
No. Revision _ v * ^
Revision: ^...rr——rr.——r^rr^
DIAGRAMA DE FLUJO
^
-^r
A,
C.
HESPONSABie DEL SISTEMA ENCARGADOS V USUARIOS SSSTEMA COMiTi DE INFORM* COMUNtCAClOH SOCiAL
DEL
Fin de Proceso
nicio de Proceso
I Reporta incidente ai
• • • . - f T ^
Responsabede Sistema |
1 1 B
1 1
Reporte
1 1
Analizan el incidente
I A,B
Informa Incidente a\ Comite de Informacion
J A
Gestbna las medidas para notificar a bs afectados
4 r^
i Aplican medidtis de gestion
y noti^cacion a los afectados
i A. D
Registran ei incidente en 'm Bitacora
6
informe
CcrTiunicado
FECHA: 14 DE NOVEMB^ PAGtNA; 7 DE: 8
DIRBCCldN DE ADMINISTRACION UNIDAD JURiDICA
^vrrr.r..r..r—^r^
Manual de Procedimientos para la Proteccion de Datos Personales
^-. I I rrrr..^vrr.rr..rrrrrr^r^ ^..rjrrr—.—rrrr—rr.^ T.-_W.-_V_^J_ ^vrrrrrrrr—rr^
Procedimiento de Notificacion, Gestion y Respuesta ante Incidentes
-r.j.rrrr—rjr^r—^
Clave: VST-DA-PR-013-04 No. Revision: ^..—r—^v^vrr^r^vr—r—^ -—rrrrrr—^r^j.r—^
Emision Original: 14-11-2006 | Revision: IT.—A-A-r_^j_
HISTORIAL DE CAIVIBIOS
^vr^.rjrrrjj
Revision Num.
Fecha de Aprobacion
00
Descripcion del Cambio Motivo (s)
25-10-2006 ; Documento Nuevo ^vrr—r^.—r—rjjr^ rrrr—r—^rrjj -rrrrr—^ rrrrrrrrrrjj
^vr^vt jr.rr^r^ -rrr—rrrrrrrr.
yr^r^vjj
^vrrrr^rrjj ^vr.—.r—j.rjjM
I II I III II
^vjr.——rr—^Lr^
^..r—r^v—jj rrrrrr——jjrr^ rrrrrrrrr—rr—^
rrjrjrrjrrjrr.tttt.rrjrrrrjj ^vtr—r.r——^ ^vrrr^vrr—jj
.^v—r—^r^v^ rrrrrr^v—^
irrjrrrjr.rrj—rjj -rrr-rrr—r^
FECHA: 14 DE NOVIEMBRE Dq 20G6 PAGFNA; 3 DE:S
DIRBCCldN DE ADMINlSTRACldN UNIDAD JURIDICA
rrr^-rr.—^...r.—r— . • • . • • • . . . . • . • . ••• • • I I r--rr.—-..r.-r _._.__-i-iiii n—.rrrr..^r.r— j-ur 1 -rrj—r.r.rrr.rj-
Manual de Procedimientos para la Proteccion de Datos Personales
I I I I - . • . - . I I I I 1 ^ ^ - ^ ^ - - ^ - ^ - j j j j j j ^ I- I • • I- I- I I- I I I I- ^ TTT - • • • • . • • • • • • • • • • . — ^ ^ - ^ rrrr.rrrr 1
Procedimiento para el Control de Asignacion de Claves de Acceso
—-.—r. I I tr..r....r—rrr.rr— ^-rrj-^vrr^..rrrr.r— rr.rrr^v.r..rrrj
Clave: VST^DA-PR-013-05 No. Revisidn:
Emision Original: 14-11-2006 | Revision:
FIRMAS DE AUTORIZACION
^vr^v.—rrrrrjrrjrj.^
'ez Iglesias for de Desarroilo de Sistemas
Infonnaticos
:eviso:
f^
Lie. iPranciico Javier Madrid Lino Tttulardi la Unidad Juridica
Aprobo:
Lie. Daniel Aceves Villagran Director de Administracidn
rtr—trrrrr
-rrj.^-—jrrrjt r.
Fecha de documentacion: Revision numero:
Copia numero: Copia asignada a:
^vrr—.rr.^rrr^rjj.r^
14-11-2006 Original
rjrjr..r^..- -rrrt r—.rrr.-
FECHA: U DE NOVEMBRE DE 2006 PAGFNA: 1 OE:VO
OmBCaON DB AOmmSTRACiON UNIDAD JURiDICA
rr.r.r^-r.—.rrr^
^vr^vrrr.rrrr^^^ ^v—r^-r—r^ 1-.-.T-A—A-A^_V_li
Manual de Procedimientos para la Proteccion de Datos Personales
^vrr^-r..rr^.^vrrr.r—rr^ 1-.-.T-.-A—A^—I
Procedimiento para el Control de Asignacion de Claves de Acceso
rtr^—.rrr^ T.—.-A-_W—I
Clave: VST-DA-PR-013-05 No. Revision: ^r—r^-r..^v.- T.-.T—.—^v_^—I ^vr.r—rr^v^
Emision Original: 14-11-2006 i Revision: Uconsa
INDICE DE PROCEDIMIENTO
Pagina
Objetivo
poifticas de Operacion
Descripcion de Actividades 8
Diagrama de Fiujo 9
Historiai de Cambios 10
EECHA: M DE NQVIE^^RE DE 20C& PAGINA: 2 DE; '0
DIRECCION DE ADMINlSTRACtdN UNIDAD JURiDICA
-_\W.-.-A-AV_^—.-.---A^—•_f_li rr^vrr.rrj.r^ -r.rr.——r^ _r.^\w.-AW—•—I
/ •" ^v..
Manual de Procedimientos para la Proteccion de Datos Personaies
rrrrjr.rr.—^ TA-AV.——-_WJ_ -rrrrr.—r—jrjjjrrjj
Procedimiento para el Control de Asignacion de Claves de Acceso
1-.-.—.-.-A^—WJJ — r.r.rrrr—^ -rr. I I rrrrrrr.r^r^
Clave: VST-DA-PR-013-05 ^vrrrrr——J—irr^
Emision Original: 14-11-2006
No. Revision:
Revision: ^vrrr^v—^LT^vr-* rrr.rrr—rjr^
OBJETIVO
Implantar procedimientos para el control de asignacion y renovacion de claves de
acceso a equipos de computo y a los sistemas de datos.
FECHA; U DE NOVieMflRE DE 2006 PA(SNA:3D£: ^Q
DIRBCCldN DE ADMINISTRACION UNIQAO JURiDiCA
I—.-.—A-A\W^_^—I ^vt rrrrr.r^.—rr—^ I—.T—.T—.—.—A-A\-.—AW.-A^_li
Manual de Procedimientos para la Proteccion de Datos Personales
I—.-A--^—w^ 1 - ^
Procedimiento para el Control de Asignacion de Claves de Acceso
-rr.—.rrr^r^r^
Clave: VST-DA-PR-013-05 No. Revision: rr...r—.r.- -rr—r.^.—r—r^ _-.-.-.—_-I-.T^VAV.-.-.-A\W_li
Emision Original: 14-11-2006 | Revision:
POUTICAS DE OPERACION
De los Responsables de Sistemas de Datos Personales:
1.
2.
3.
4.
5.
6.
Seran ios que controlaran la asignacion y renovacion de claves de acceso a equipos de computo y a los sistemas de datos personales asignados a Encargados y Usuarios que operan sistemas de datos personaies.
Seran los encargados de definir los perfiles que deban cumplir las asignaciones y las renovaciones de las claves de acceso a equipos de computo y a los sistemas de datos personales asignados a Encargados y Usuarios que operan sistemas de datos personales.
Seran ios responsabies de definir y de supervisar e! tramite de asignacion y renovacion de las ciaves de acceso a equipos de computo y a los sistemas de datos personales asignados a Encargados y Usuarios que operan sistemas de datos personales.
Seran ios responsables con cinco dias habiies anteriores a la aplicacion, de soiicitar a la Subdireccion de Desarroilo de Sistemas Informaticos, la aplicacion de los perfiies de asignacion y renovacion de las claves de acceso a equipos de computo y a los sistemas de datos personales, especificando expiicitamente sl se trata de una asignacion o de una renovacion a un equipo de computo o a un sistema de datos personal. / \
Del Manejo de Contrasenas:
Las contrasenas son parte fundamentai de la seguridad de !a informacion. Son la primera linea de defensa de ias cuentas de usuario para cualquier sistema, aplicacion o servicio que las utilice como medio de acceso. /
La seleccion de contrasenas, su uso y administracion como contro! de acceso a sistemas de informacion, no deberan persona aiguna por ninguna razon o circunstancia.
ledio principal para fer compartidas con
V i
^'
FECHA: U DE NOVIEMBRE DE 2G06 PAGINA: 4 DE: 10
DiRECCiON DB AOmmSTRACidN UNIDAD JURiDICA
-jrjrrrrrr.r^ I—.n-A\ -A \w_ i i -t rrr.^—r.r^r^
Manual de Procedimientos para la Proteccion de Datos Personales
^ • • • - - - • • • - — -rrrr—r.r.r^r—..—r.^-rr^ ,—A-.^--.-—w^ ^vrr.^r—^
Procedimiento para el Control de Asignacion de Claves de Acceso
rr.r.rrr^r—r—^ ^-... — . rtr—rrr—.-
Clave: VST-DA-PR-013-05 No. Revision: 1-.T—AV.-.-AW.—AV.-A—.^•-V—-A\-_—.•—I
Emision Original: 14-11-2006 \ Revision:
7. Creacion de contrasenas
Las contraseilas deberan crearse siguiendo los siguientes puntos:
- Debera integrarse con al menos ocho caracteres, alfanumericos.
- Debera considerarse e! uso de letras mayiisculas, minusculas y numeros.
- At ingreso por primera vez al sistema, el usuario debera ser obligado a cambiar su contraseria.
Despues de noventa dias, el usuario contrasena.
debera ser obligado a cambiar su
En et caso de sistemas, que la Entidad considere como sustantivos debera establecerse ei uso de contrasenas mancomunadas.
9.
10
8. Prohibiciones
Las actividades que se prohiben en e! manejo de ias contrasenas incluyen, mas no limitan, las siguientes:
Compartir ias contrasenas
Tenerias en un Iugar visible (monitor, teclado, etc.)
Utilizar datos personales en la creacion de contrasenas
Utiiizar contrasenas por default def sistema, tales como admin, administradar, , \ '^ etc.
Repeticidn de contrasenas anteriores
En caso de que ei usuario cause baja, ia contrasena debera ser revocada y eiiminada, asi como la garantia de que esa contrasena no sera reasigp 'ada a otro usuario.
En caso de contrasenas con acceso privilegiado, se debera firmar u compromiso para no compartir las contrasenas ni ia informacion.
FECHA-. --i
- > " •ry-M
* de
REDE goes PAGiNA: 5 OE: 10
DIRECCldN efe ADMINlSTRACldN UNtDAD JURiDICA
j-t\ I trr^vrr.rrrr^r— -rrr^.rrrrr^rrr.rrrr-r—.- ^ r r . . r - - _ • _ • _ • • _^_,_^-__--_„ ^ -^--JJJ^_^ . • . • . • . • . . - " i ' ^ . • • . • " -
Manual de Procedimientos para la Proteccion de Datos Personales
——r—r.r^r^... rrrrrrrrrr—r-- 1—i . ^ - r - r . r — r . - . - . • . • . - A M I • • rrrrr-r . - . r . . . - r - i i i i i
Procedimiento para el Control de Asignacion de Claves de Acceso
rrrrr
rr.rr.^vrrrt rr.rj ^rr^v—.rr..rrj
Clave: VST-DA-PR-013-05 No. Revision: rrrr^^—^^-— i-rA-.-A\—.-.
Emision Original: 14-11-2006 jRevision: vrr—r—rjrrrM rrr^v..——j.—rr—rj
11. En el caso de que el usuario abandone su lugar de trabajo, debera dejar bloqueada !a pantaiia con ia contraseria o cerrar ia sesion.
De la Seguridad de los Equipos de Computo que contengan Sistemas de Datos Personales:
12. Los equipos que contengan informacion de sistemas de datos personales, no deberan ser compartidos, ademas de! asignatario del equipo de computo, tendran acceso al mismo ei persona! de soporte tecnico designado por ta Subdireccion de Desarrolio de Sistemas Informaticos y ei persona! de la misma Subdireccion las veces que sean necesarias para garantizar ei dptimo funcionamiento dei equipo de computo y dei sistema de datos personal.
13. Los equipos que contengan informacion de sistemas de datos personaies, no deberan ser utilizados para almacenar musica, fotograflas, peifcuias y en generai cualquier informacion ajena a la Entidad.
14. Los equipos de computo que contenga sistema de datos personales, ademas de este, solo podra contener ei software institucional.
15.
16.
17.
La Subdireccion de Desarroilo de Sistemas Informaticos garantizara ei optim desempeno del equipo de computo y dei sistema de datos personales, si y solo si, cumplen los dos parrafos anteriores y los Responsabies, Encargados y Usuarios { equipos de computo y sistemas de informacion personal no instalan, desinstaian ^/o cambian ias configuraciones del equipo de computo y del sistema de informacid personal.
La Subdireccion de Desarroilo de Sistemas Informaticos garantizara el optim desempeno del equipo de computo y del sistema de datos personaies, si y soio si, e equipo de computo no abandona ei inmuebie de Oficina Central.
El respaldo de informacion que el Responsable, Encargado o el Usuario del sistema de datos personaies que deposite en ia RED, sera responsabilidad de la Subdireccion de Desarroilo de Sistemas informaticos y la informaciorf que sea depositada en ei disco duro dei equipo de computo, sera responsabilidad'dei Usuario y debera reaiizar ei respaldo de la misma. La Subdireccion de Desan^ollof de Sistemas informaticos no sera responsable ni intentara recuperar informacion cfeLdisco duro det Usuario.
FECHA: 1 i-iOViBMBRE DE 2006 PAGSNA: 6 OE: tO
DIRECCldftDE ADMINISTRACION UNIDAD JURiDICA
—.r^-r.rr—.rr—M
^%M
-J-J-——J- . - L ^ r j . r - r j - r r r r r r r r ii i ' i ' i ' i i i i ' ii -- - i i ' i i i ' i i i ' ii i i i' ' i ' i ' i 'i i ' i ' i i ' i '
Manual de Procedimientos para la Proteccidn de Datos Personales
i i i i i i i i i i i i l l l l l l l l l l l l l I I 1 1 1 1 ^ . - — - . ' ' . . ' . ' ' . ' . . ' . ' . ' ' . — . - . . - . - ^ . . . ^ . ^ . . ^ . ^ . ^ J — ^ . . . - . ' . ' . ' . . ' ' . I I I I I I I I I I I I I I I I I I I ~ I r^J-^J-^J-' -^' ' " I ' l ^ i i i i i i i i i i i i i i ^
Procedimiento para el Control de Asignacidn de Claves de Acceso
rr^vr^..^-r.—r.—rrjrrrj rrr.rr^-^vrrrrrr.r.. —-rrj-rj-r.rtvrj-^v..rrrrr—
Clave: VST-DA-PR-013-05 r \jrr^Lrr^vrr—.. ^^- -..- -- - •T-.—.-—•*•—V.-A^—
Emision Original: 14-11-2006
No. Revision: -rj-.^——^
Revision: ^ —.- ^-.r—rjjrrrrr— ^rrrr.rrrr.r——
Del Usuario de los Equipos de Computo que contienen Sistemas de Datos Personales:
18. Sera el responsabie de salvaguardar la integridad, seguridad y confidenciaiidad de ta informacion empresariai, ei software y ei hardware que este contenido en su disco duro yen !a red.
19. Sera su responsabiiidad y debera comprometerse a respetar tas configuraciones de software, de hardware, a utiiizar su disco duro, su unidad de red, ios servicios de comunicaciones propiedad de LICONSA y que esta le preste para desempenar las funciones para ias cuales fue contratado.
20. Sera su responsabiiidad no sacar de! inmuebie de Oficina Central, ni permitir que otros la saquen.
21. Sera su responsabiiidad no prestar e! equipo de computo a excepcion del personai de soporte tecnico y del personal de ia Subdireccion de Desarroilo de Sistemas informaticos.
22. Sera su responsabiiidad ia elaboracion y el controi de los respaldos de su disco duro, al menos una vez al mes.
23. Sera su responsabilidad no instaiar, desinstalar o modificar las configuraciones dei equipo de computo y dei sistema de informacion personal y en generai de cualquier software que se le preste para desempehar sus funciones.
24. Sera su responsabilidad soiicitar a traves de ia mesa de ayuda (helpdesi() la instalacion, desinstalacion, modificacion de las configuraciones de software, hardware y cuaiquier otra actividad que sea competencia de la Subdireccion de Desarroilo de Sistemas Informaticos.
.-nvK^-
-^
FECHA;'14 D£ NDVlEMBRE Dg 200f ^AGfNA:?[)E: 10
DIRECCION DB ADMINlSTRACldN UNIDAD JURIDICA
Manual de Procedimientos para la Proteccion de Datos Personales
— vr—j^-rrrr—rr^
Procedimiento para el Control de Asignacion de Claves de Acceso
!Clave:VST-DA-PR-013-05 ^..r.rrr.^vr^vrrr^rr^
Emision Origmal: 14-11-2006 —r—rr..rj.r^r.
No. Revision:
Revision: ^.^....r—rr^
DESCRIPCION DE ACTIVIDADES
Paso Num.
1
i r - ^ —
4
6
7
t ^
Responsable Actividad
Responsable del sistema
Definir y controlar ias soiicitudes de asignacion o renovacion de las claves de acceso. Y solicitario con una anteiacion de 5 dias habiies a la SUBDIRECCION DE DESARROLLO DE SISTEMAS INFORiVlATICAS la apiicacion las reglas para ia asignacion o renovacion de claves de acceso.
Subdirector de Desarrolio de
Sistemas Informaticos
Apiicar las reglas que gobiernen ias ciaves de acceso.
Responsabie del sistema
-rrr—rrjr^r^
Definir y supervisar ei tramite para la asignacion y para la renovacion de las claves de acceso.
Responsabie del sistema
Supervisar la discrecionalidad y el cambio mensual de ias claves de acceso al sistema.
- j _
Encargado y Usuario del
sistema
Encargado y Usuario dei
sistema
Eiaborar tos respaldos de sus discos duros al menos una vez a! mes.
r—rr—^rj—^/^ ^yA-.—.-A-j_w^ ^vr—rrrrr—^
Soiicitar a traves de la mesa de ayuda cualquier cambio que necesite en ias configuraciones, hardware y software para ia optimizacion de sistema.
jr^—rrr.jrrrrj.rrr^ ^vrjt.—r^ ^v.r—r^—.
Subdirector de Desarroilo de
Sistemas informaticos
Optimizar el equipo de cdmputo para su mejor desempeno y de! sistema.
rrrrrr.r--*—J--^
FIN DEL PROCEDIMIENTO
Nombre y clave del
documento de trabajo
Control de Claves
-H
FECHA: 14D^NOVfEM3R*DE^0u6
DIRECCION OB ADMINlSTRACldN UNIDAD JURiDICA
rrr^r.r—^ i -An- . -A^—vj_
r——.r...rr^r^
Manual de Procedimientos para la Proteccion de Datos Personales
rrrr.^.—rr.r^..^
Procedimiento para el Control de Asignacion de Claves de Acceso
. - ^^^^ -v -w-^^ ^ ^ ,_, ^ ^ r r r r . r . . . r ^ - .
Clave: VST-DA-PR-013-05 No. Revision: -rjrrrj^-rrr..—r—rrrr..rr—r.
rrrrrr^vrr^vr..rr—rr^ 1-.—^•_V_^_L^_^_l i rrrr^.r.r.r^ 1-.—.—AV_^^
Emision Original: 14-11-2006 ! Revision:
DIAGRAMA DE FLUJO
%
-^
i
. i^ A. RESPONSABLE D£L S^ST a ENGARGASQS Y USUARIOS OB-
SfSTEMA c. smoimcam DE DB^AHHOLO
SISTSMAS iNFOR^TiCAS
Fin de pToeesG
Definir y controlar las solicitudes de asignacion o renovacion de ias claves de
acceso
1 A
Aplicar ias regias que gobiernen ias claves de
acceso
Dei'iHir y supen/isar el tramite para la asignsciori y
para la renovacion de ias daves de acceso.
A
Supervisar la discrecionalidad y el cambio
mensuai de las claves de acceso
T
A
Eiaborar Ics respaidos de sus discos duros al menos
una vez ai mes-
^
1 SoNdtar a traves de la mesa de ayuda cgalquier cambio
que necesite en ias configuraciones
6
X
B
-J 1
Control de Ciaves
I — ^ Reporte
Optim^rarei equipo de
desempeno y de; sistsma.
FECHA: 14 05
QSRECCiOM OB Aa&^^^lSTRAC!0f4 UNIDAD JURIDICA
I—A—A-.—.-A—A\-_^_W_0'
Manual de Procedimientos para la Proteccion de Datos Personales
rr.rrr.r^.—rjr^r^r^ 1-.-A-_V_^X^J_
Procedimiento para el Control de Asignacidn de Claves de Acceso
rrr..rr.r^r^
I Clave: VST-DA-PR-013-05 No. Revision: ^vr..rrr. ^v. I t.^vr—rr—^
Emision Original: 14-11-2006 1 Revision: Liconsa
1-A—.•_V_L^_l
HISTORIAL DE CAMBIOS
rrrrrrrrjrrjj rrrr—rrrr—^
Revision Num.
Fecha de Aprobacidn
j-.-J--r-rr—
00
Descripcion del Cambio Motivo (s) rrrrt—jrrrrr^r^
r
\ Documento Nuevo rrjrrji.rjrjrjj
^vjirjr^vjj rrAT.^_-_^_i
^vrrrrrrjirjj rrrrrjrrjrjj
- I
^v—rrrr—^
1-.—_\-A\—.-.•^
^vrrrrr^r^vrr^ rrrrrrrrtrr—^
rrrrrrv—JJ
-rj-rrrrr— rrrrj^-^J----— -rjrrjrrrrrjj ^vrr^rrr^
rrrrrrrrwr—r^ • _ v _ w j x J
. - - • " "
—rj-rr.^-rrr-r^—'-r-* j mtj-r-rrrrrrt
fECHA: 14 BE NOVIEMSRE DE 2006 PAGiNA: 10 DE; '.0
DiRBCClON DE ADMiNISTRACION UNIDAD JURiDiCA
^v^v.r.rr.rrr^ rvrrrr.—rr^ 1-A-AW_LV_^J_ ^vrrt r.r^v—^r—j.r^
Manual de Procedimientos para la Proteccion de Datos Personales
w-j-rrj-J-J--J—-<
^\-A-F. I I rrr^..rrrrr^v^v^v.rr.- rr.rr^v..^vr..rr^
Clave: VST-DA-PR-013 No. Revision: T.-I-.-.-.^\W_\-.^_li w-rrrJ--——-^
r
Emision Original: 14-11 -2006 ; Revision —^jrrrrr..rr^v^ ^vj.rr—....r^
Vlll. RELACION DE ANEXOS
^vrrr..^r—rrr.rr—r—^rrjjrrrrr—^ ^vrr^v—rrr^ r—rr—.r—rr^
Num. Nombre del documento Clave -rrrrrr—^.——rrrjr.r^ i-.-_rA\-xv_^xw_ii rr.r^v——rr—^
1. I Bitacora de Acceso Fisicos —^.rr^Lrrr^v—^ -r^vrrrr—^r^
I Bitacora de Acceso Electronicos
I Bitacora de Incidentes rrjrr.jrr.r^rr—^
4. I Control de Asignacion de Claves rrrr-r—rrr^
1-A-AVJ-.^—•JJ f-yr—rrr^
-r^-rr.jrj.rrr—rrrr—^rjr^v^r^ n^.-_\x^_^x. 1-AW^_^X^_l r r r r r r r } I
rt rrj.rj—r—r—JJ ^r^rrr^rjr—^ rr . -Ai-_v_vj_
•—.•_\-AV_^_li -rrrt .r.rrrr—r^ ^vt^v^-.rrr.r—^
rrrrrrrrrrjrr^ -rjrjr.rr^r^ -rjrj-*--^J-—^
— vrrrrr—J ^
-rrjr.jrjr.j 1-.-AW_i—_WJ_ rr.jr.rr—rj—r^ TA-A^—W_LLH *•
FECHA: ^4 DE NOVlEy^^E DE 2005 PAGINA: 1 DE; 10
DIRBCCldN DE ADMINlSTRACldN UNIDAD JURiDICA
-rA-.n-A-A^_—_•_-.—.-iw.-.—.-.-.-A^_-—^^ i-.^_v_\-_—A—.-.•-•j_
Manual de Procedimientos para la Proteccion de Datos Personales
1-A-.—.-A\-.^_^—•j- 1-.1TA-AV.-.^—•—\W—I
i Clave: VST-DA-PR-013 No. Revision ..-.--.-...-....—
Emision Original: 14-11 -2006 ! Revision:
BITACORA DE ACCESO FfSICOS
DIRBCCldN DB ADMINIS TRA CidN UNtDAD JURiDICA
1—A—.-A—A—.-_w—\w— ^r.r.r-—r^..rrrr..^r^r.^..rrrrr^v..
Manual de Procedimientos para la Proteccion de Datos Personales
rr.—r—rr—r—rrr.r—r—j
Clave: VST-DA-PR-013 j.r—r^.^vr—r—^r^ 1-.-AV.-.-AV.-.^—i_v—I ^vrr—r. t t rrt—.rrrrr^-rr.—r.rrr^-rr^j.rr^
Emision Original: 14-11-2006
No. Revision:
Revision:
liconsa
h44<+:
>r>X->ArJX->A-^^^'^^^v:^--'_rnTTnv^_»v_L\7
•^4 DE NGVEEMBRE DE 2006 PAGFNA: 3 DE: 10
DIRECCtON DB ADMINISTRACION UNIDAD JURiDICA
l l l l l l l l l l l l l ! I I I I I I I I I I I I I I r^v.r.r—^vr.rrj.rr—t i i i i i i i i i i i i i i i i i i i i . - . . - - ^ . _ - - _ _ _ - _ - - _ _ _ . . . ' * " • JJ-^ _ • n . . . . . . . . - , • • • • J J J J J J J J J J — . — . _ • •
Manual de Procedimientos para la Proteccion de Datos Personales
1-A1-AV_V_^_li I—.-A-A-.—A—.-A-_
Clave: VST-DA-PR-013 No. Revision: 1-.—.•_\—A—AV_W_li -rjrr—.rrrr^v.rrrjj
Emision Originai: 14-11-2005 mevision:
BITACORA DE ACCESO ELECTRONICO
Liconsa
DIRBCCION DE ADMINIS TRA CidN UmOAO JURiOiCA
. rrr^ rrrjrrr^^—jr—^ -_\XAWA-.-.—.—_•_-—•^
-.^r^
Manual de Procedimientos para la Proteccion de Datos Personales
Clave: VST-DA-PR-013 No. Revision: -_W_^_-A-_^_V_li
Emision Original: 14-11-2006 \ Revision:
MM« ^^iM
ikm0
^ • ^
:HA: 14 DE NOVIEMBRE DE 2CC6 PAGiNA: SDE: 10
OIRECCldN DE ADMINlSTRACldN UNIDAD JURiDICA
. rrrrrr——...r^.^.^..r.rr.^v—rr.jr——^ ^vrrr^vrr—r.r^..-
X-_ V
•ri '-.%
Manual de Procedimientos para la Proteccion de Datos Personales
1-A-A-A^V.-A-—VAWJXA_^J_ 1-A1-r i-AVAW_-.-A\W_r
Clave: VST-DA-PR-013 No. Revision: r jr^-r.r..r.rrrr—^ i-.-.x.-.-A-_v.—.—.•—v.—.•_\-A-A^—•
Emision Original: 14-11-2006 IRevision: - • - • - - I—.^-.-A\—A\1T1 A 1-.-.^VA-AVA—.•_\-_
BITACORA DE INCIDENTES
1
imn$$
HMAKWAn
DlRBCCtdN OE ADMINlSTRACldN UNIDAD JURiDICA
^- -...-....--.--..- - - 1-.-.-I—A—.—A\-A\-.^J_ 1-A-A-AV.-_-A-A\——-A^_\W_^_^—V^A-.^—I
>l^^^'rj^,^r. - -^ ^V
Manual de Procedimientos para la Proteccion de Datos Personales
iCIave: VST-DA-PR-013
Emision Original: 14-11-2006
No. Revision:
Revision: IT.-.-AV.-_^_VA—A\-A-.^^_V—I
iconsa
Ikmm
DIRECCldN DE ADMINISTRACION UNIDAD JURIDICA
1-.1-A-A-A^—• 1-.—AX.-.-I^VA^\-_V.—-v.—A-.-.-A-.-AV_V—I
Manual de Procedimientos para la Proteccion de Datos Personales
ITA-I—I—_VAVA-.^_^_\-_ rrrjr..rr—r——^
Clave: VST-DA-PR-013 No. Revision: ^vrr.j^—rr^rrrrr^
Emision Original: 14-11-2006 i Revision: I—.1TA-A\——•-•_V_^_^J_
-^^
r ^ '
y
"ECHA; 14 D£ N0ViE^13RE DE 2006 PAGINA: SDE: 10
DiRECCidN DE ADMINlSTRACldN UNIDAD JURiDICA
Manual de Procedimientos para la Proteccion de Datos Personales
^ Ciave: VST-DA-PR-013
I Emision Originai: 14-11-2006 jt.—.rr^vrrrjj.rr—^
1-A\XAVA-.-.^—w_^—I
No. Revision: V r^vr^-.r——^vr—r.rrrrrr^r—^r^
Revision:
CONTROL DE ASIGNACION DE CLAVES
FECHA; id DE NOVIEMBRE DE 2006 PAGfNA; SDE; 10
DIRBCCION DB ADMINISTRACION UNIDAD JURiDICA
^v.^.^-rrrr^vr^vr.rj-^ rrrrr—r^..r^
U^t&i'. Manual de Procedimientos para la Proteccion de Datos
Personales - - - - • - - — - • • • • - • • - • - • -
Clave: VST-DA-PR-013 No. Revision:
Emision Original: 14-11-2006 ; Revision:
Liconsa
FECHA: 14 DE NOVIEMBRE D£ 2006 PAGrNA; 1CDE; 10
DIRBCCldN OB ADMINlSTRACldN UNIDAD JURiDICA
Manual de Procedimientos para la Proteccion de Datos Personales
^..rrr^v^vr. t t —r—rrrr- — _-A—AV_L^_VX^J_ 1-AV.—I-A—.—.-A-_
Clave: VST-DA-PR-013 No. Revision: y.—^vjjrjrr—^
Emision Original: 14-11-2006 I Revision: 1-AV.-.^-AWA—A^^AV_f_li •—AVAV.-_V^XV_li
IX. APROBACION DEL COMITE DE MEJORA REGULATORIA INTERNA
NOMBRE FECHA FIRMA
LIC. DANIEL ACEVES VILLAGRAN Director de Administracion
UC. FRANCISCO J. LARENA ^AJERA Director de Abasto Socia!
ING. JORGE LUIS SAiNZ PICOS Director de Produccion
ING. GONZALO E. ROBLES VALDES Director de Materiales
C.P. ANTONIO DE LA MATA HERNANDEZ Director de Finanzas y Planeacion
LIC. IGNACiO DURAN LOMELI Titular de la Unidad de Comunicacion Social
IsuLn^
Lie. FRANCISCO JAVIER MADRID LINO Titular de !a Unidad Jundica "^ VX 1 / 0 ^
FECHA. U DE NOVIEMSRE D£ 2006 PAGINA: 1 DE:1
DIRECCtON DE ADMINlSTRACldN UNIDAD JURiDICA
top related