Download - MANUAL DE PROCEDIMIENTOS PARA LA … · el Sistema de Recursos Humanos ... la facultad de decision sobre el uso y destino de sus datos ... Decreto por el que se deroga la Fraccion

Liconsa

MANUAL DE PROCEDIMIENTOS PARA LA PROTECCION DE DATOS

PERSONALES

FECHA: U D E NOVIEMBRE DE 2006

DIRECCtON DB ADMINISTRACION UNIDAD JURiDICA

^r—rrrr—rrrr...r.r.r.rrrrrr—r.—^vrrr^vrrrr^vrrrrrrr..rr.—r—rrrr^v.r^.^—rr..^r..r^—. t t t t.r.^vrr.t t t —.t t t rr^-rr.r.^-.r^ t—r—rr^r—

Manual de Procedimientos para la Proteccidn de Datos Personales

jrr^Lrjjr^vr—rrr..r^vrrr.r.j^-^

Clave: VST-DA-PR-013 ^rr—r—rrrrr^-^vr^vr^.—rr^r.rrr.^r^ ^r^vr—rr—^v——rr^v..^—r..rrr..r^vrr.—rrrrrr^r^..rr—...rrrr.rr—r^v^..^..r^v^—r.r—^

Emision Original: 14-11-2006

No. Revision

Revision:

INDICE GENERAL

Pagina

!. INTRODUCCION ~— ———————— —. 1 -1

IL OBJETIVO GENERAL ——— ——— 1 -1

III. GLOSARIO ~ ——— „—_-_-———__-- -__..„- 1-2

IV. MARCO LEGAL — —— ~ 1 -2

V. ALCANCE — ——~ — —~ 1-1

VL NORMAS GENERALES ——— — ———— 1-4

VII. PROCEDIMIENTOS

1. PROGEDiMIENTO DE RESGUARDO DE SISTEMAS (VST-DA-PR-013-01) ~ — —- ' j ^

2. PROGEDiMIENTO DE CONTROL, REGiSTRO DE ASIGNACION Y i BAJA DE LOS EQUIPOS DE COMPUTO 1-4 (VST-DA-PR-013-02) — ———— —-

3. PROCEDIMIENTO DE AUDITORIA Y RASTREABILIDAD DE . ^ OPERACIONES (VST-DA-PR-013-03) —-

4. PROCEDIMIENTO DE NOTIFICACION, G E S T I 6 N Y RESPUESTA ANTE INCIDENTES (VST-DA-PR-013-04) —————————— ^"^

5. PROCEDIMIENTO PARA EL CONTROL DE ASIGNACION DE . .„ CLAVES DE ACCESO (VST-DA-PR-013-05) —-——— ————

VIII. RELACION DE ANEXOS —-.-———————— —— -. - - - - 1-10

IX. APROBACION DEL COMITE DE MEJORA REGULATORIA INTERNA — 1-1^

PECHA: '.4 DE NGVEEMBRE. PAGfNA: 1 DE:

DIRECCldN DE ADMINiSTRACldl UNtDAD JURiDICA

^.•_V_VAV_L-_li

Manual de Procedimientos para la Proteccion de Datos Personales

Clave: VST-DA-PR-013


No. Revision:

Revision:

I INTRODUCCION

Ei presente documento se desarrolio considerando el objeto y ambito de apiicacion de los

lineamientos emitidos por el iPAl, ios cuaies tienen por objeto establecer las poiiticas

generates y procedimientos que deberan observar las dependencias y entidades de !a

Administracion Publica Federal para garantizar a ia persona la facultad de decision sobre

ei uso y destino de sus datos personales, con el proposito de asegurar su adeeuado

tratamiento e impedir su transmision iiicita y lesiva para la dignidad y derechos dei

afectado.

Diclios lineamientos fueron publicados en e! Diario Oficial de ia Federacion el 30 de

Septiembre de 2005 por el Instituto Federal de Acceso a la informacion Publica.

Dado que LICONSA como parte de sus atribuciones, opera diferentes sistemas de datos

personales, como es el de Control y Administracion de Padron de Beneficiarios (SiCOPA),

el Sistema de Recursos Humanos (SIREH y SiCORH), expedientes de personal

(MAXIMAGE), Seguro de Personas y el Sistema de Anaiisis Financiero de Concesionarios

(SAFCO), se requiere contar con la normatividad necesaria para cumplir cabaimente con

os lineamientos emitidos por el IFAf, es por ello, que el presente manual incluye la

normatividad general y cinco procedimientos que fueron eiaborados en virtud de que

ningun otro manual de normas y procedimientos de la entidad los considera y que se

deberan seguir por los Responsabies, Encargados y Usuarios de los sistemas que /

manejan datos personales dentro de LiCONSA, para garantizar la se^ridad e integridad

de los nnismos.

FECHA: 14 DE NOVEMBRE Dl PAGINA: 1 DE: 1

DiRBCCfdN DB ADMINISTRACION UNIDAD JURIDICA

i—.

Manua! de Procedimientos para la Proteccion de Datos Personales^

No. Revision: iCIave: VST-DA-PR-013 r ^

Emision Original: 14-11-2006 Revision:

II. OBJETIVO GENERAL

Garantizar a la persona, en el uso de los sistemas institucionales de LICONSA,

Controi y Administracion de Padrones de Beneficiarios (SICOPA), Sistema de

Recursos Humanos (SIREH y SICORH), expedientes de personai (MAXIMAGE),

Seguro de Personas y el Sistema de Analisis Financiero de Concesionarios

(SAFCO), la facultad de decision sobre el uso y destino de sus datos personales, con

ei proposito de asegurar su adeeuado tratamiento e impedir su transmision iiicita y

lesiva para la dignidad y derechos de! afectado.

FECHA: 14 DENOVIEM PAGINA: ( DE:

DIRECCION DE ADMINISTRACION UNIDAD JURIDICA


Clave: VST-DA-PR-013 No. Revision:

Emision Original: 14-11-2006 I Revision: —-- - -.-.—.-.—.. ^vr. I I I jr.rrr.^v^r..rr.rrr.r—..r—...^vrr.. ii i^^i ii rrrrr

^ - • • ^ . - — . - . — - — ^ — - — - . - . . - . - - - -

III. GLOSARIO

DESTINATARIO: Cuaiquier persona fisica o moral publica o privada que recibe datos personales.

ENCARGADO: El servidor publico o cuaiquier otra persona fisica o moral, facultado por un instrumento juridico o expresamente autorizado por el Responsabie, para iievar a cabo ei tratamiento fisico o automatizado de los datos personales.

RESPONSABLE: El servidor pubiico titular de la unidad administrativa, designado por el titular de la Entidad, que decide sobre el tratamiento fisico o automatizado de datos personales, asi como el contenido y finaiidad de los sistemas de datos personales.

SISTEMA "PERSONA":

SISTEMA DE DATOS PERSONALES

TITULAR DE LOS DATOS:

TRANSMISION:

Aplicacion informatica desarroliada por el instituto para mantener actualizado el listado de los sistemas de datos personales que posean las dependencias y entidades para registrar e informar sobre las transmisiones, modificaciones y cancelaciones de los mismos.

Conjunto ordenado de datos personales que esten en posesion de la Entidad, con independencia de su forma de acceso, creacion, almacenamiento u organizacion.

Persona fisica a quien se refieren los datos personales que sean objeto de tratamiento.

Toda entrega totai o parcial de sistemas de datos personales, realizada por las dependencias y entidades a cualquier persona distinta al Titular de los datos, mediante el uso de medios fisicos o electronicos, tales como, ja interconexion de computadoras, interconexion de bases 0e datos, acceso a redes de telecomunicacion, asi como a traves de ia^utllizacion de cualquier otra tecnologia que lo permfe

FEOHA: 14 DENOV, PAGINA: 1 DE: 2

DIRECCldN OE ADMINlSTRACldN UNIDAD JURIDIC

• • • - • - • - • • — - - . ^ — -


Clave: VST-DA-PR-013 No. Revision: .-...-—-

• • • - • • • - - • • - - - - • -

:l0^^^ \ y-. -- Emision Original: 14-11 -2006 i Revision:

TRANSMISOR: ntidad que posee transmision.

los datos personales objeto de la

TRATAMIENTO: Operaciones y procedimientos fisicos o automatizados que permitan recabar, registrar, reproducir, conservar, organizar, modificar, transmitir y canceiar datos personales.

USUARIO: Servidor publico facultado por un instrumento Juridico o expresamente autorizado por e! Responsable que utiliza de manera cotidiana datos personales para el ejercicio de sus atribuciones, por lo que accede a ios sistemas de datos personales, sin posibilidad de agregar o modificar su contenido.

/

\ p I g

FECHA: U DE NQVlE^iBRE DE 2006 PAGFNA: 2 DE:

DIRECCldN DB ADMINlSTRACldN UNIDAD JURiDICA


r.-. ^ iCIave: VST-DA-PR-013

Emision Originai: 14-11-2006

No. Revision:

Revision:

IV. MARCO LEGAL

Constitucion Poiitica de los Estados Unidos Mexicanos. Promulgada ei 5 de febrero de 1917. Uitima refonna del 14 de septiembre de 2006.

1.

2.

3.

Leyes

Ley Organica de la Administracion Publica Federal. DOF del 29 de diciembre de 1976. Ultima reforma 2 de junio de 2006.

Ley Federal de las Entidades Paraestatales. DOF dei 14 de mayo de 1986. Ultima reforma dei 21 de agosto de 2006.

Ley Federal de Procedimiento Administrativo. DOF dei 04 de agosto de 1994. Uitima reforma dei 30 de mayo de 2000.

Ley Federai de Responsabilidades Administrativas de ios Servidores Pubiicos. DOF dei 13 de marzo de 2002. Ultima reforma 21 de agosto de 2006.

Ley Federal de Transparencia y Acceso a la Informacion Publica Gubemamental. DOF del 11 de junio de 2002. Ultima reforma 6 de junio de 2006.

Reglamentos

Reglamento de la Ley Federal de ias Entidades Paraestatales. DOF del 26 de enero de 1990. Uitima reforma 7 de abril de 1995.

Reglamento de ia Ley Federal de Transparencia y Acceso a la informacion Pubiica Gubemamental. DOF det 11 de junio de 2003.

Reglamento Interior del Instituto DOF del 11 de junio de 2003.

Federal de Acceso a la Informacion Publica

Decreto por el que se deroga la Fraccion I det Articuio 22 de Transparencia y Acceso a la informacion Publica de mayo de 2004.

la Ley ^e ra l d OF dei 11

[CHA: 14 DENOV PAGiNA; 1 DE; 2

DIRBCCldN DB ADMINlSTRACldN UNIDAD JURiDICA


Clave: VST-DA-PR-013 No. Revision . ...-..-. — ....-....-...-..- - -...

Emision Original: 14-11-2006 i Revisidn:

4. Acuerdos

Acuerdo por el que se modifica ei Cuadragesimo de ios Lineamientos de Proteccidn de Datos Personales. DOF del 17 de julio de 2006.

5. Otras Disposiciones Legaies

Lineamientos de Proteccion de Datos Personales

Lineamientos que deberan observar las dependencias y entidades de la Administracion Pubiica Federal en la recepcion, procesamiento y tramite de las solicitudes de acceso a ia infomiacion gubemamental que formulen los particulares, asi como en su resolucion y notificacion, y la entrega de la informacion en su caso, con exclusion de las soiicitudes de acceso a datos personales y su correccion. DOF del 12 de junio de 2002.

Lineamientos que deberan observar las Dependencias y Entidades de la Administracion Pubiica Federal para notificar al institute e! listado de sus sistemas de datos personales. DOF del 20 de agosto de 2002.

Lineamientos que deberan observar las dependencias y entidades de la Administracion Publica Federa! en ta recepcion, procesamiento, tramite, resolucion y notificacion de las soiicitudes de acceso a datos personales que formulen ios particulares, con exclusion de las soiicitudes de correccion de dichos datos. DOF del 25 de agosto de 2003.

Lineamientos que deberan observar las dependencias y entidades de la Administracion Publica Federai en ia recepcion, procesamiento, tramite, resolucion y notificacion de las solicitudes de correccion de datos personales que formulen los particulares. DOF del 6 de abril de 2004.

Lineamientos de Proteccion de Datos Personales. DOF del 30 de septiembre de 2005.

Los documentos, decretos y avisos que emita el IFAI sobre e! tema

FECHA: 14 DE NOViEyBRE DE PAGiNA: 2 DE; 2

DIRECCION DE ADMINISTRACION UNIDAD JURiOlCA

-.----- —


Clave: VST-DA-PR-013 No. Revisidn: .^r...r.r^

Emision Original: 14-11-2006 \ Revision:

V. ALCANCE

A. En Oficina Central:

Direcciones Unidades administrativas Subdirecciones Jefaturas de Departamento Persona! Operativo

8. n Centros de Trabajo: Gerencias Subgerencias Jefaturas de Departamento Personai Operativo

/

FECHA: 14 DE NOVEMBRE DE 2006 PAGsNA: 1 DE: 1

DIRECCldN DE ADMINlSTRACldN UNIDAD JURIDICA


Clave: VST-DA-PR-013 No. Revision

Emision Original: 14-11-2006 | Revision: Liconsa

VI. NORMAS GENERALES

1. Generales

Las indicadas por ei Instituto de Acceso a la informacion Pubiica, de las cuates se dedyan las siguientes:

1.1. La informacidn solicitada ai Titular de los datos, es la estrictamente necesaria.

1.2. En caso de que los Responsables, Encargados o Usuarios detecten que hay datos personales inexactos, deberan actualizarios en ei momento mismo que tengan conocimiento de este hecho, siempre y cuando cuenten con el soporte documental correspondiente.

1.3. Los datos personates que hayan sido objeto de tratamiento y no contengan vaiores historicos, cientificos, estadisticos o contables, deberan ser dados de baja por las dependencias y entidades, o bien, los que contengan dichos valores seran objeto de transferencias secundarias, de conformidad con to establecido por los catalogos de suposicion documentai.

1.4. Los datos personales solo podran ser tratados en sistemas que reunan las condiciones de seguridad estabiecidas en el presente manual.

1.5. En el momento que se reciban datos personales, conocimiento at titular de ios datos tanto en electronicos utilizados para ese fin.

la Entidad debera hacer del los formatos como en los

1.6. Los datos personales no pueden asociarse al Titular de estos.

1.7. Cuando se eontrate a terceros para que realicen el tratamiento de datos, debera estipularse en el contrato correspondiente la implantacion de medidas de seguridad y custodia previstas en estas normas.

r y --

1.8. Ei funcionario pubiico responsable de recabar el consentimiento del titular de los datos para la transmision de los mismos, debera entregar a este, de manera previa, la informacion suficiente acerca de las implicaciones de consentimiento.

/7 FECHA; U DE NOVEE^^SRE DE 2006

PAGiNA: 1 DE;

DIRBCCION DB ADMINISTRACION UNIDAD JURiDiCA

S;; «,:>«::


-r.j^

ICIave: VST-DA-PR-013 1-.X.T-A—A—1

i-An-.^\—.-.—.—A-.-AVAV.-.-.—A\-.-.x"


No. Revision: I—.-A---.^

Revision: ..rrrrr. t t t rrrr. i i i i mi rr.r.rr.rr^-.r^-^vr.r^-—r...—r^^jr^

2. Medidas de Seauridad

2.1. Los Directores, Gerentes Metropolitanos, Estataies y de Programas de Abasto Sociai, designaran a los Responsables de ios Sistemas de Datos Personaies con que cuenta la Institucion.

2.2. El Comite de informacion a traves de los Directores, Gerentes Metropolitanos, Estataies y de Programas de Abasto Social, difundira a los Responsables, Encargados y Usuarios de los Sistemas de Datos Personales, la normatividad y ios criterios especificos sobre el manejo, mantenimiento, seguridad y proteccion de ios sistemas de datos.

2.3. La documentacion generada para la implantacion, administracion y seguimiento de las medidas de seguridad administrativa, fisica y tecnica, tendra caracter de informacion reservada y sera de acceso restringido, el personal que tenga acceso a esta informacion debera evitar que esta sea divulgada.

2.4. El responsable debera: adoptar ias medidas para el resguardo de los sistemas, de manera que evite su alteracion, perdida o acceso no autorizado, autorizar expresamente, en los casos en que no este previsto por un instrumento juridico, a Encargados y Usuarios y llevar una retacion actualizada de ias personas que tengan acceso a los sistemas e infonnar ai Comite el nombre de los Encargados y Usuarios.

/

3. Sitio Seguro

3.1. Las areas responsables de los sistemas de datos personales en Oficina Central y los Gerentes Metropolitanos, Estataies y de Programas de Abasto Social, en los Centros de Trabajo, deberan:

a Asignar un espacio seguro y adeeuado para la operacion de ios sistemas.

o Controlar ei acceso fisico a tas instalaciones en donde se encuentra el equipamiento que soporta ia operacion de los sistemas .de datos personales debiendo registrar en una bitacora.

FECHA: 14 OE NOV^ELiBRE DE 2006 PAGINA: 2 DE: 4




Emision Original: 14-11-2006 I Revision:

v—.—^

vrrrr

3

Reaiizar procedimientos de control, registro de asignacion y baja de los equipos de computo a los Usuarios que utilizan datos personaies, considerando que si es asignacion, configurarlo con las medidas de seguridad necesarias tanto a nivel operativo como de infraestructura y verificar y llevar un registro del contenido dei equipo para facilitar los reportes del Usuario que !o recibe o lo entrega para su baja.

Implantar procedimientos para el control de asignacion y renovacion de claves de acceso a equipos de computo y a ios sistemas de datos.

Implantar medidas de seguridad para el uso de ios dispositivos electronicos y fisicos de salida, asi como para evitar el retiro no autorizado de los mismos fuera de las instalaciones de la Entidad.

4. Seguridad en la Red

4.1. Llevar el contro! de acceso a la red que considere ios perfiles de usuarios o grupos de usuarios para el acceso restringido a ias funciones y programas de los sistemas de datos.

4.2. Estabiecer mecanismos de auditoria o rastreabilidad de operaciones, que mantenga una bitacora para conservar un registro detallado de las acciones llevadas a cabo en cada acceso, ya se autorizado o no, a los sistemas de datos.

5. Registros de Incidentes

5.1. El encargado debera de iievar un registro de incidentes en el que se consign^^ los procedimientos realizados para la recuperacion de los datos o para permitir una disponibiiidad del proceso, indicando la persona que resolvio el incidente, id metodoJogfa aplicada, los datos recuperados y, en su caso, que datos ha sido necesario grabar manualmente en et proceso de recuperacion.

:CHA: 14 DE NOVIEMBRE DE 2GQf PAGJNA: 3 DE: 4'

DIRECCldN DE ADMINlSTRACldN UNtDAD JURiDICA

.-.-..--


Clave: VST-DA-PR-013 No. Revision: -r..rr—r..r.r—r^^^

Emision Original: 14-11-2006 | Revision

6. Accesos Controiados v Bitacoras

6.1. En cada acceso a un sistema de datos personates se debera guardar:

^'^

o

'•^

o

o

Datos completes del Responsable, Encargado y Usuario.

Modo de autentificacion del Responsable, Encargado o Usuario

Fecha y hora en que se reaiizo el acceso, o se intento el mismo

Sistema de datos personales accedido.

Operaciones o acciones llevadas a cabo dentro dei sistema.

Fecha y hora en que se realizd la salida del sistema.

7- Respaldo v Recuperacion de informacion

7.1. Aplicar procedimientos de respaldos de bases de datos y reaiizar pruebas periddicas de restauradon.

7.2. Llevar contro! de inventarios y clasificacion de los medios magneticos u opticos de respaldo.

7.3. Utilizar un espacio externo seguro para guardar de manera sistematica tos respaldos de las bases de datos de los sistemas.

7.4. Disenar planes de contingencia que garanticen la continuidad de la operacion y reaiizar pruebas de eficiencia de los mismos.

c DIRBCCldN DB ADMINlSTRACldN

UNIDAD JURiDICA


--—..—.--..-—--.— - —..-

Clave: VST-DA-PR-013


No. Revision: ^vr^.^.....rrr—r^v—^r—rrr^v^rrr—^Lrjrr—.^r—r^

Revision: "Ly- ^rrrr^

Liconsa

VII. PROCEDIMIENTOS

1. Procedimiento de Resguardo de Sistemas (VST-DA-PR-013-01)

2. Procedimiento de Control, Registro de Asignacion y Baja de los Equipos de Computo (VST-DA-PR-013-02)

3. Procedimiento de Auditoria y Rastreabilidad de Operaciones (VST-DA-PR-013-03)

4. Procedimiento de Notificacion, Gestion y 013-04)

Respuesta ante incidentes (VST-DA-PR-

5. Procedimiento para el Control de Asignacidn de Claves de Acceso (VST-DA-PR-013-05)

\

jJ-

FECHA: UDENOV^EMBR PAGiNA: 1 DE: 1

DIRECCldN DB ADMINlSTRACldN UNIDAD JURIDICA

I I I I I I I I I I I I I I I I l l l l I I II I I I ^—


Procedimiento de Resguardo de Sistemas . rrrr.r.rr^-rr^^ rrrr.^..r^ r.

^ ^ Clave: VST-DA-PR-013-01 rr.—.rj.r


No. Revision:

Revisidn:

FIRMAS DE AUTORIZACION

tjr^vrr——jrrjrr.jrrjr

Licruanos Kamtrez igiesias Subdirector de Desarroilo de Sistemas

Infonnaticos

Reviso:

Uc. Fran Tituiar d

er Madrid Lino la Unidad Juridica

Aprobo;

Lie. Daniel Aceves Villagran Director de Administracion

^

^vjrr—jrrrrrrj.r.rrr.^rrr^r^rjj

j.rrjr.^-rr—^vrrr.r.jrt

Fecha de documentacion: Revision numero:

Copia numero: Copia asignada a:

• ~ - ^ ^ . . . . - . - . - — - . • I I I I I I I I I I I I I I I I I I I i i i i i i i i i i i i i i i i i i i i i i i i i i i i i i i i i i

14-11-2006 Original

FECHA: 14 DE NGVtEMBRE DE 2006 PAGINA: 1 DE: 9

DIRBCCION DB ADMINISTRACION UNIDAD JURiDICA

•^<^^\-.v


Procedimiento de Resguardo de Sistemas

Clave: VST-DA-PR-013-01


No, Revision:

Revisidn:

- ^

Uconsa

NDICE DE PROCEDIMIENTO

Pagina

Objetivo

Politicas de Operacion

Descripcion de Actividades 7

Diagrama de Fiujo 8

Historiai de Cambios 9

FECHA: 14 DE NOVIEMBRE DE ^ 0 6 PAGFNA: 2 DE: 3

DtRECCidN DE ADMINISTRACION UNIDAD JURIDICA

rrrrjrr.t ii i .rr.rrrrrrr.jrt


rt r.——r..rr..r^Lr^ jr^rrr.r.^v.rr.r^.^


Clave: VST-DA-PR-013-01 —....- - - - —.-.-....-- —.—-—.-- ^— ....—.—--. -


No. Revision:

Revision: - - • - - • • • - • — - • - • • . ^ ^

-trj.r.jrr^-^.^.^..r——r^v^.^vrrr.rrr^vrrr.r^...rjt.

iconsa

OBJETIVO

Contar con ias medidas necesarias para ei resguardo de ios sistemas de datos

personaies y evitar que sufran alteracion, perdida o acceso no autorizado.

/

FECHA: 14 DE NOVIEIvlBRe 082006 PAGINA: 3 T)E: 9

OiRECClON DEADMINIS TRA CION UNIDAD JURiDICA

http://rr.rrrrrrr.jrt



Clave: VST-DA-PR-013-01 No. Revision:

Emision Original: 14-11-2006 Liconsa

POUTICAS DE OPERACION

De los Responsables:

1 Autorizar expresamente a traves de un oficio, a Encargados y Usuarios el acceso a los sistemas, en los casos en los que no exista un instrumento juridico que los faculte para el desempeno de sus funciones.

Contar con una reiacion actualizada de las personas que tengan acceso a los sistemas.

3. Informar al Comite de Informacion el nombre de los Encargados y Usuarios.

4.

5.

Estabiecer las medidas de seguridad para ei resguardo de tos sistemas de datos personaies fisicos, ios cuales eviten la alteracion, perdida o acceso no autorizado.

En caso de detectar o ser notificado per los Encargados o Usuarios de la alteracion, perdida o acceso no autorizado, deberan ievantar el acta administrativa correspondiente, informando al area de Vigiiancia, Unidad Juridica, al 6rgano Interno de Control y a la Unidad de Enlace de la situacion presentada.

De las Medidas de Seguridad:

6

7.

8.

Contar con un espacio seguro y adeeuado para e documentos que contengan ios datos personales.

o fisico de los

Controlar el acceso fisico at iugar en donde se encuentran resguardados ios documentos del sistema con una cerradura de seguridad.

La Have de acceso sera resguardada por e acceso a elia los Encargados y Usuarios

y

Responsable de! ^sterna y soio tendran

FECHA: 14 DENOVIEM PAGiNA: 4 DE:

DtRECCiON DB ADMINISTRACION UNIDAD JURiDICA

Manua! de Procedimientos para la Proteccion de Datos Personales

rvrrrr.——rrrr.r..^....rrr.rrr^v.—^..r^

Procedimiento de Resguardo de Sistemas ^v^..^v..rrr.^..rr.^vrr..rr. r.^-j.^ r.^..r^v...^v——^r^


Emision Original: 14-11-2006 j Revision: Liconsa

9. Se debera contar con una bitacora de acceso, en la cual se registrara todos los accesos que se realicen at area, ta cual debera contener al menos la siguiente informacion:

a. Nombre det Responsabie, Encargado o Usuario que ingresa el area

b. Numero de nomina

c. Fecha de! ingreso

d. Hora del ingreso

e. Hora de salida

f. Razdn del acceso

g. Acciones realizadas

h. Si se extrajo algun documento:

1. Describir numero de expediente

2. Razdn por la cual se extrajo

3. Fecha de saiida dei documento

4. Hora de saiida del documento

5. Fecha de ingreso del documento

6. Hora de ingreso del documento r

y

i. Si se detecta alguna violadon a las medidas de seguridad

1. Antota ia incidencia detectada

2. Fecha del incidente

3. Hora dei incidente

y - ^

FECHA: 14 DE NOVIEMBRE Dt/2CQ6 PAGINA: 5 DE: 3

DIRBCCldN DB ADMINlSTRACldN UNIDAD JURiDICA

-rjrrr.rr—jr—.r—.rr—rr—r—r^r.rr^v^..^vrrr.rrr^.—rrr.r^v^.—rrrrr^


Procedimiento de Resguardo de Sistemas -t..rjrrr.r^-r.rrrrr.—rrr^Lrrr^^—jj



No. Revision:

Revision:

s £••

Liconsa

De los Encargados y Usuarios:

10. Acatar ias medidas de seguridad definidas para e! resguardo de los sistemas de datos personales.

11. Registrar en la bitacora correspondiente, los accesos al area de resguardo de Ios documentos fisicos que contienen los datos personales.

12. Por ningun motivo podran retirar fuera de las instalaciones de la empresa o difundir informacion sin la autorizacion expresa del Responsable dei sistema de datos personales.

13. En caso de detectar alguna aiteracion, perdida o acceso no autorizado al area de resguardo de los documentos, debera notificario de manera inmediata a Responsable del sistema.

Del Comite de Informacion:

14. Tomara nota de los Responsables, Encargados y Usuarios de los sistemas de datos personales.

15. Supervisara que ia lista de Responsabies, Encargados y Usuarios de ios sistemas de datos personales se encuentre actualizada.

16. Tomara ias medidas necesarias en caso de aiteracion, perdida o acceso no autorizado a los documentos que contienen ia informacion de ios datos personaies.

FECHA: 14 DE NOVIEMBRE DE #006 PAGINA, 6 DE: 9

DIRECCION DE ADMiNISTRACION UNIDAD JURIDICA

^..rrr^vrrr rrr.rrrr^


... ..—.--— ^..-..--..- - i-."_\-_"_\-.—.-A"^ 1-AT—I-.—AVAV.-."—v_t\—

Procedimiento de Resguardo de Sistemas .. ^.^vr..^..rrrr..rr..^r^ -rrr^-.rrr^

'MM ' Clave: VST-DA-PR-013-01 No. Revision 1-.-AX.-A\-I-.—_-_—.•_\—.-."—W.-.-A-—-_—.-A\-A"_W."_"—l_"_V."_li I—A-.-r.-_-A"_w."^

Emision Original: 14-11-2006 I Revision: 1-.-.—AV.-."—V—I

DESCRIPCION DE ACTIVIDADES

Paso Num.

^..rrrrrrrrrj^rrrrr^

1

6

7

— ..j.^ .r^-^vrr.rrrrj^-jrrrj.r

Responsable Actividad

del Sistema i Notifica al Comite de Informacidn la lista | j actualizada de los Encargados y Usuarios del I I acceso al sistema de datos personaies

Responsabie del Sistema

I r

^Informa autorizacion a los Encargados y| j Usuarios del acceso a! lugar de resguardo del los documentos que contienen ta informacion | de datos personales |

rr.jrrr.^v.-

Encargados y Usuarios del

sistema

I Cada vez que entren al lugar de resguardo de| j los documentos que contienen la informacion | I de datos personaies, se registran en la bitacora I de acceso I

Nombre y Clave del

Documento de Trabajo

rrr-rr—JU

Lista de Encargados y

Usuarios

Oficio

^vrjrjrrrr.r^^.

Bitacora de Acceso

ncargados y Usuarios del

sistema

Acatan medidas momento

de seguridad en todo Medidas de Seguridad

Encargados y Usuarios del

sistema

I Si detectan aiguna violacion a las medidas de| I seguridad, registran incidencia en la bitacora e| I informan de manera inmediata al Responsable | i del Sistemas

Bitacora de Acceso

-r^vr—r—r——..j—rr^ -rrrrrrrr—rrrr^

Responsable \ Supervisa cumpiimiento a las medidas de j del Sistema [seguridad y en su caso notifica al comite de

i informacion sobre las incidendas presentadas.

Oficio

..-....- - 1-.—.x.-_w.n r.—_"_"—v_\-_\

Comite de | Apiica ias medidas necesarias ante alguna j Informacion | incidencia presentada

1-A\-AX.—A\-_W_"^_VJ_

FIN DEL PROCEDIMIENTO


^...jrrrr.jr^-.^..r..r^v.rrr...rr^vrrjr—jj



Clave: VST-DA-PR-013-01 No. Revision: ^ - ^ ^ ^ - • - - -

Emision Originai: 14-11-2006 \ Revision:

DIAGRAMA DE FLUJO

No

Prcporae?â ai Coir\':i^ de Informacion a [ist3

actuaiizada de Encargados y Usuancs dei Sfstema ae

Dat05 Perscriales 1

I Informa autonzacion a ics

Encargados y Usuanos del acceso ai ûgar de resguardo

I A

Reg IS ira n ngreso en IB bitacora de acceso

I B

Acatan medidas de seguridad en todo momerrto .

A- RESPONSASLH DEL SISTEMA B. ENCARGADOS Y USUARIOS

SiSTBM C. COM^Tfe OB INF0RyACi5N

D€L

c

Usta

oncio

iitacora

Documento

RegiS rs inoder^cia en bitacora e informa a

Responsabie de: SiSTema

I LB

Supervise medidas de V

segundad e '.r\fof^-^ s^ CGîîte de irAorrfiSCidfi

i -^ E

[ c 1 A

C^cio

i ante ia mc^de^Cia

presentada

•7 c

FECHA: 14 DE NOViEMBRE DE ^ 0 5 PAGINA-S DE:9

DIRBCCION DB ADMINISTRACION UNIDAD JURIDICA

I—.—.-TA-n-AVAV—I


1-.-AV.-.T—IT.-.—AV."_"_V_V_-.^\-AV_\-."—I

Procedimiento de Resguardo de Sistemas ^v.r.rrr^v^-r^vrrr.^r.r^^vr.r.r^v..^v.r—.rr^v^^..r..—r.^—^-..r—.j

Clave: VST-DA-PR-013-01 No. Revision: ^^.jrrrr—rr^


HISTORIAL DE CAMBIOS

Revision Num.

Fecha de Aprobacion Descripcion del Cambio Motivo (s)

rrrrjrrj^-r^vr.rrr^

25-10-2006 : Documento Nuevo

/ .*y-

FECHA: U DE NOVEMSRE DE 2006 PAGINA: 9 DE: 9

DIRECCION DB ADMINISTRACION UNtDAD JURiDICA


^v.t II I rr.jr^-...jrrrrrrr—^vrrrrrr.^-^—rr^.^v^..rr.rrrrr.rrrrrrrrrrrr^r^

Procedimiento de Control, Registro de Asignacion y Baja de los Equipos de Compute

j j . r I I I I I I I • I I I I I I 1 I I I P I l l l l l l l l l l l l l l l l l l l l l l l l l l l l l l l l l l l l l l l l l l l l I I I l l l l i r i I I i i r i i i i i i . . - . - - . . . . - . . . . - — - . . . . ^ . . . - . . . - -

. ^ ^ ^ K ^ - . -ry .V V Clave: VST-DA-PR-013-02 No. Revision:

-trrjrjr^.^-r^vrrrr^.^vrrjrr..rr.rrrrr^vrrr^.^-rr^v^.^..r.^—rr.^vr^v.rrrr.r—r—^

Emision Original: 14-11-2006 i Revision:


Elaboro:

esias stomas

Informaticos

vrjrjrr—..rr——ju

Lie. pranciBco Javier Madrid Lino Ti(utar de ia Unidad Juridica

Aprobo;


^vrj.^vrrrrrr

v—r^-rr^r^vrrrrr..rrjrrjrrjrrj.r^.j^-rrj-^vrjr -rrr.^vr.rrrrrt

Fecha de documentacion: | 14-11-2006 Revision numero:


* • • • 1 rr-jrvrrrrr-rrrrr.!7V,ttt rrr.rrrr^'-^.

I Origina

^vr—rrrrr rrjr.jrrrjt

FECHA: U DE NOVIEMBRE 0f?- 2006 PAGiNA;'1 DE:S

DIRECCldN DE ADMINlSTRACldN UNIDAD JURiDICA

rt .—r.rrrr—jjrr^ -r.rrrrrjr^v—^jr.r^

Manual de Procedimientos para la Proteccion de Datos Personales rrr.^-r.rrr..r—r^ jrrrrr.^^v—rrr. ^vj^-.rr.rr—r. v^..rr.rrr^v.r—...^v.^...—rrr.rr.rrr^.^vr—^ -—.rrr^vt

rrr.rri

Procedimiento de Control, Registro de Asignacion y Baja de los Equipos de Computo

I I I II III I II II I I I I I I I II I II I I II I I I I II I I I II I I I I I I I I I I I I I I 1 1 I I I I . - . - ~ 'r. ^ 1 1 ' " i . " i ' " i ' ' ' i I I I I I I I I I I I I I i ' - • —

Clave: VST-DA-PR-013-02 I No. Revision:

Emision Original: 14-11-2006 \ Revision: rr.jrrrrrr.^-rrjr.rr^v.^vrjrrrrr—r—rrrrrrrrrrrrr—rjr^ rrr.' ' tttrr^.—rjr..j-rjrrrrrrr.rrrr—rr.r.—rjj

INDICE DE PROCEDIMIENTO

Pagina

Objetivo

Politicas de Operacion

Descripcidn de Actividades 6

Diagrama de Flujo 7


FECHA. 14 D£ NOViEMBRSDE 2006 PAGIN42 De:S

DIRBCCldN DB ADMINlSTRACldN UNIOAD JURIDICA

^v.rrjr.r.—r.r——rr—r—^^rrjrj—rrj—rr^


1-.—.-.-I^\XA-.-.-.—.-.-AVAW.-.-A-_"_"J_


• l l l l l l l l l I I I - I I I i i i i i i i i i i i i i i i i i i i i i i i i i i i i i r r i i i i l l l l I I I I I I I I I ^ . ^ ^ — . ^ - — . - . . ~ . - - — . . . - i _ ' i ' i ' i i i i i i i i i i i i i i i i i - ^ _ • _ _ . ' . .

Clave: VST-DA-PR-013-02 1 No. Revision: -.r.r.rrr^vrr..r^vr^

^..^t I trrrr.r.r.r.rrrr.rrr^-rrrr^r^

Emision Original: 14-11-2006 j Revision: ^..rrrrrrr—jr.^r—rr^

OBJETIVO

Contar con los mecanismos necesarios para controlar los equipos de computo que

son utilizados para ei manejo de sistemas de datos personales.

^

^ • - " •

FECHA: 14 DE NOViEMBRaOE 20C6 PAGiN* 3 DE. S

DIRECCION DBADMimSTRACidN UNIDAD JURiOlCA


^vrr—r—r—rrr.rr.—r.—rr-rrrr.—rrrrr—r^r—r^Lrr^Lrrr.r^


; Clave: VST-DA-PR-013-02 | No. Revision:

i Emision Original: 14-11-2006 | Revision: Liconsa

-rrr.r^.—r—rr.rr. t j^-—r—r^v.r.r.rrrr^vrjr.

POLITICAS DE OPERACION

De los Responsables de Sistemas de Datos Personales:

1 Seran los encargados de lievar ei controi de los equipos de cdmputo Encargados y Usuarios que operan sistemas de datos personales.

OS a

2. Seran los responsables de supervisar el tramite de asignacidn y baja de los equipos de computo de Usuarios que manejen sistemas de datos personales, para io cuat contaran en todo momento con el apoyo del area de soporte tecnico.

3. Seran los responsables de llevar un registro del contenido de los equipos para facilitar ta asignacion y baja.

De la Seguridad de los Equipos de Computo que contengan Sistemas de Datos Personales:

4. Los equipos que contengan informacidn de sistemas de datos personaies, deberan ser protegidos en su acceso, a traves de contrasenas que deberan ser cambiadas cada tres meses, apoyandose en ei area de Mesa de Ayuda de ia Subdireccion de Desarrolio de Sistemas Infonnaticos para lo siguiente:

a)

b)

c)

d)

En Oficina Central, Metropoiitano Norte, Metropoiitano Sur y Valle de Toluca, se aplicaran las politicas de seguridad de acceso remote {Zenworl<s) para obligar at Usuario a cambiar su clave de acceso ai sistema operativo cada tres meses. j

En ei resto de los Centres de Trabajo, esta politica se aplicara utilizando las' facilidades del editor de las politicas de Windows.

En todos los equipos que contengan sistemas de datos personales, ademas de lo anterior, se debera activar e! protector de pantalla con clave de acceso.

r y

/

Adicionalmente, se deben utilizar los dispositivos exteciios de seguridad que ie sean proporeionados a los usuarios responsables del ^quipo,/Como pueden ser: memorias flash, tokens, etc.

FECHA: 14 DE NOVIEMSRE DE 2000-PAGINA; 4 DE; S

DIRECCION DB ADMINlSTRACtdN UNIDAD JURiDICA

rrrrrr^..^..rr— I I I I I I I l l l l l l l l l I I I I I I I I I I I I II I I.I I I II I - ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^T-I-I--I-I-I--I--I—I--I-I-I-I--I--I--I--I—I-I-I—I--I—I--I—I--I-I-I-I-I—IT—I-I-I—I—I-I--I—I—I—i-i-^


^rrr..r..rrrrrr.r^-rj-rrrrrr.^..rrrr——rj

r - -

Procedimiento de Control, Registro de Asignacion y Baja de los Equipos de C

- • . y ^ . . . . . • . . • • • . • . • . • . • • ^ . . - . • . — . • • • • • • • • • • • • • •

r

I No. Revision: rr.r..r.rrrrr.r.r^..rr^^vr—..—.rrr.—.rrr.rr..r..r..r.rrrr...—rrj

Clave: VST-DA-PR-013-02 -I-.T—A—A\-_\-."_V—W.-."— rtvrr—^..rr..——

Emision Original: 14-11-2006 | Revision:

e) Cuando se reasigne un equipo de cdmputo, se debera apiicar la politica que tiene impiementada la Subdireccion de Desarroilo de Sistemas informaticos, la cuai consiste en re formatear el equipo y cargar una nueva imagen que contenga todas las herramientas basicas para su operacion.

Del Usuario de los Equipos de Computo que contienen Sistemas de Datos Personales:

5.

7.

8.

9.

Sera responsable de reaiizar e! tramite de baja y alta en su caso del equipo bajo su resguardo, considerando las medidas de seguridad indicadas en el punto anterior.

6. Sera su responsabilidad cambiar las claves de acceso cada tres meses

Sera su responsabiiidad el custodiar las claves de acceso y de! mal uso que a estas se tes pueda dar, para lo cual contaran en todo momento con el apoyo del area de soporte tecnico.

Debera informar ai Responsable de! Sistema, cualquier cambio que se realice en el contenido del equipo de computo asignado, para que este a su vez, mantenga actualizada la lista de contenido de ios equipos que operan sistemas de datos personales.

En caso de que se presenta aiguna incidencia de acceso no autorizado al equipo de computo, debera ser reportada inmediatamente ai Responsable del Sistema, para que se tomen las medidas necesarias.

FECHA; U OE NOVIEMBRE DE 2Q06 PAGiNA: 5 OE: 3

DIRECCION DE ADMINlSTRACldN UNIDAD JURIDICA

•—A-r ^w_-.-^j_-_vj_ ^ ^ - " • - -


i-^

Procedimiento de Controi, Registro de Asignacion y Baja de los Equipos de Cdmputo

i Clave: VST-DA-PR-013-02 I No. Revision:

Emision Original: 14-11-2006 i Revision: ^v.rrr^vr^vrrjrrrr^vrr.rrr.t iii tr—r.—rrrr^-.t t iii r..rrr.^r.^r^

^vrr^.—rrr—^


Paso Num.

1

p.n-.-A\Ti

6

7

^vr.rrr^

rrrrr^vrrrjj tjr—rjr^^r^vrrrrrjrrrrr^-j.r -—rr^vrrrrrrrrrrrr^r^

Actividad

Nombre y clave del

documento de trabajo

.r.r—.rrjir—r.jjrjj

Responsable del Sistema

Elabora y mantiene actualizado el inventario de \ equipos de computo que operen sistemas del datos personaies |

nventario

-rrrrrr—rrrrj.rrjrrr—r—rrrrrr.—rvrrrr—J—,—rrrr.—r^

Usuario de Equipo

i Apiica medidas de seguridad en la operacidn de! | I equipo, en caso de requerir apoyo, levantal I reporte a la Mesa de Ayuda

Reporte de Servicio

3 I Mesa de Ayuda | Atiende reporte de servicio de acuerdo a los I estandares establecidos

^ - • — • • • — — • . . — . - . ^ - . — . - . . . -

Magic

Usuario de equipo

r

\ Evalua servicio, libera reporte y caiifica Reporte de Servicio y

Encuesta de servicio

Usuario de equipo

j Notifica ai Responsable dei Sistema en caso de I cualquier cambio al contenido del equipo

I nf o rme


Reporte de Servicio

I Existe alta o baja de algun equipo de computo, I en su caso se apiica la politica de la t I Subdireccidn de Sistemas informaticos para | Solicitud y I reasignacion de equipos y el procedimiento | Captura de i establecido por ei Departamento de activos Fijos | movimientos de

I bienes muebles t—r—^rr^rr..rj.^j.r—rr^vj^^-r.rrr.——rrr..r^-jrrr.jrrjrt ^vr—.tttttt rrrr—rrjrjr.rr.tttt rrrt ^..rr..—j.r^.—r.rjrrrjrr^

Usuario de equipo

jCada tres meses debera cambiar las calves de| 'acceso

DIRECCldN DE ADMINISTRACION UNIDAD JURIDICA

http://rrjrjr.rr.tttt

^r^..rr.r^.—..rr.r..^v.rrrrr..r—r.^vr^-^vrr—rr— r—.^..rr..r^..r^v.rrr—r—rrr——...rr——^..rr—r—rr' ^^^^^ _ — _ _ I I I I I I I I I I I I I iiii^^^ — - ^ - - - - - IIIIII II III .11 I I —.^.rr..r^.r^r.rrr—r—rrr—...rr—^.rr—r—rj—— —-- -


rrr..^.—.rrr..r— rr..—rrrrrr-—rj I-r."—-AX.-AV.-."—V.-—"Jl


I I I I I I I II I I II I I I I II I I I I I I I I I I I I I I I I I I II I I I I I ^ II II I II II i r I I I I II II I I I II i r I II I I I I I I I I I I I I I I I I I II I I ~ _ • I I _ ' I 'i II

Clave: VST-DA-PR-013-02 No. Revision: ^vjr.r^vrrr...rr.r.r..r—.rr^.^—rrr—r^rj.r^

Emision Original: 14-11-2006 \ Revision: -rjr.r.rrr^-r.r—r—rjj—r—^r^vrr^ ^v.t I trrrrr—jrr.r—rr^r^

DIAGRAMA DE FLUJO

inicio del Proceso

i Eiabora y mantiene

actuaiizado el invertam de equipos

Inventario

^

^'

^

RBSPOHSABIE DBL SISTI ENCARGADOS Y USUARIOS SISTEMA MHSA DS AYUDA

lEt

Notifica al Responsabie del Sistema en caso de

cualquier cambio ai ntenldc del equipa-

I Apiica pc^;tica de aita o

baja de e^^uipo

6

? A /

^

/

Cada. tres meses deters cambiar ias caives de/

acceso

Infcrme

Mcvimi nr XL

ReDGi'te

/

FECHA: 14 DE NOVIEMBRE DE 2006 PAGINA: 7 DE: 8

DIRECCldN DB ADMINISTRACION UNIDAD JURIDICA

I—.-.—A-A-^AWJi ^vrrr^vrrrr.rrrrr.—jrjr^


^v^vrj.rr..—rr—r^-rr^vrr.rrrr^rjrtr^v.rr^


Clave: VST-DA-PR-013-02 i No. Revision: I—A-.-.-A-_"—I

Emision Original: 14-11-2006 j Revision: rrrrrr-rrry——-^—


k r

Revision Num.

Fecha de Aprobacion Descripcion del Cambio

rvrrrr—jr^

00 Documento Nuevo

Motivo (s) ^v—rrr.jr—^

^..rrr^vrrr—r^rr^r—^vrj—rjj

rrrttr^rjrrr—jjr—.

.n •-_\w_r_rj_w^

lMrj.rrjjrrrr^

^vrrrrr^r—r^

^v—rrr—r——^ rrrrrrrr—r—r—^r.-

^ ^

/

/

FECHA; 14 DE NOVIEMBRE DE 20G6 PAGiNA: 3 DE: a

DIRBCCION DB ADMtNISTRACidN UNIDAD JURiDICA

-rrr—rr—^rrrr^r^


^..rr..rrr.^vj.r.^...rr.r.^r——rr^

Procedimiento de Auditoria y Rastreabilidad de Operaciones

—rr^..r rrrrrr—rr.rr—^

Clave: VST-DA-PR-013-03 No. Revision

Emision Originai: 14-11-2006 \ Revision:


-rrr—j—rjj

Elaboro:

Subdirector de Desarroito de Sistemas Informaticos

Reviso:

Lici Francisco Javier Madrid Lino ituiar de la Unidad Juridica


+T^ rr—rrr.r^v--. ^..rrjr.——j—r^v^ ^vrjr.^vrr.

rvrrrr—r^vjr.rrr.

Feciia de documentacidn: i 14-11-2006 Revision numero:


I Origina


^.^..r^-.^v..rrrr.rrr.rr.rrrr.r^j.rr^ ^vr^-rr.r.rrrr-


yrr.-.


^vrrrrj.rr.rrr..r—rrjj.r—rj.r^

Clave: VST-DA-PR-013-03 No. Revision: Emision Original: 14-11-2006 i Revision:

I—A\-A"_-.—.-A-.-."_V."_"J—"^

^vjrj.^vrrrrr.—rrrjj


Pagina

Objetivo

Poiiticas de Operacidn


Diagrama de Flujo 8


FECHA: 4 DE NOVll^^BRE DE 2^ PAGFNA: 2 Di

DIRBCCldN DE ADMINISTRACION UNIDAD JURIDICA



^w.-1—.—Axm—.-.-.—A-AV.—_-r.—A"_v.-A-.-.-AV_-A"_\-A\-."j_

Clave: VST-DA-PR-013-03 No. Revision ^--rrrrrrrrr^vr..rrr—rr.—r—rrr—r—^ 1-A"_V.-_-A-A-.-_V^—VAVJJ

Emision Original: 14-11-2006 \ Revision: Liconsa

OBJETIVO

Contar con los mecanismos de auditoria y rastreabilidad de operaciones realizadas

en ios sistemas de datos personales.

y /

/

< ^

fECHA: U DE NOVIEMBR^E 2006 PAGINA'5 DE:S

DIRBCCION DB ADMlNiSTRACiON UNIDAD JURiDICA

. • • • m i l I " I I I I ' r r - r — r ^ - r • • • _ • • r.rrrr.r-r


rr^-rrr^..rrrrr—.rrrrrrrr—rM .rr-—Lrrr- — j—rjrr.rjrrr-.rrrrrrrr-rjj-Lr rrrrrrrrrrrr-rrj "


l l l l l l l l l I I i r . ^ ^ - . - — — - - — - . . . . . . . . . _ - _ - - _ - ^ • ^ I I I . ' . ' . ' . ' ' ' ' " ' I I I I I I I I I I I I —1 ^T-.-_-A\-—•_V_-.^Ji

J^.v^ I Clave: VST-DA-PR-013-03 No. Revisidn:


POLITICAS DE OPERACION

Del Responsable del Sistema de Datos Personales:

1.

3,

4

5.

6.

Validar que el sistema de datos personaies cuente con pistas de auditoria para dar seguimiento a eventos, en caso contrario, debera soiicitar a la Subdireccidn de Desarroilo de Sistemas Informaticos que ia incluya.

2, Analizar las bitacoras o pistas de auditoria y revisar que no existan operaciones no autorizadas.

Notificar al Comite de informacion, para tomar las medidas necesarias, en caso de detectar cuaiquier alteracion no autorizada, Debera conservar las bitacoras como soporte documentai para deslindar responsabiiidades.

Depurar las bases de datos que contiene la bitacora y en su caso, liabilitar o desfiabilitar la funcion, para evitar saturaciones que perjudique ei desempeno dei sistemas.

Revisar que todas las medidas de seguridad dictadas en ei presente manual, sean apiicadas de manera adecuada por los Encargados y Responsables de los sistemas de datos personales. Debera hacer revisiones ai menos cada tres meses.

Utilizar una bitacora de accesos si el sistema no cuenta con pistas de auditoria o estas no contienen toda la informacion requerida para garantizar accesos controiados., la cual contendra la siguiente informacion;

I. Datos completes del Responsable

II. iVIodo de autentificacion

ill. Fecha y hora en que se reaiizo el acceso, o se intento el mismo

IV. Sistema de datos personales accedido

V. Operaciones o acciones llevadas a cabo dentro del sistema

Vi. Fecha y hora en que se reaiizo la salida del sistema

OIRECCldN DE ADMINISTRACION UNIDAD JURIDICA

I I I ' ' ' . . ' . ' . . ' ~ ' ' I I I ' I I I 11 I 11 I I I 111 I r r . — ^ - — j r r — 11 i i i i i i i 11 i i 11 i i i i i i i i i i i ^ . . -. - . ' . . ' . ^^ - - - . - . — — J-fc i i i i i i i i i i i i i i i i i i i i 11 11 i i r . — r . r . . — . 11 i i i v— 11 11 i i 11 i i 11 i i i i i i i i i i i i i i i i i i i i j — i - i — P I - P I


- ^ - i - ^ _ - ^ ^

r--rr.rrrrr.——rr^r—rM — - r r . ^ ^ r . — r r r - r _• _• •_ ^ m . n i _. m .' .- •• • • • i i i ' i i ' ' i i '

Procedimiento de Auditoria y Rastreabilidad de Operaciones _ ^ ^ ^ ^ ^ _

I II I II II I I II I I I I I I I ,Ki ,1 , , , , , , , , , l l l l l t .^-^.. .r .r j-r .rrrrr^jjr j j j j jr- ' . 'm' n i i i m n i n n i i i i |i iJ_i_|_i_ ' ' " I I I I I I I I I I rr..^^^^-— i i i i i ii i i i i i ii i i i i i i i i i i i i i i i i i |i i i i i i • i • i i i ii ii i i i i i

Clave: VST-DA-PR-013-03 No. Revision: ^-.j—r.rrrrr— rrrr^..^vrrr^vr^rr^rj .j-rir—-

Emision Original: 14-11-2006 [Revision: Liconsa

De los Sistemas de Datos Personales:

8

9

7. Todo sistema informatico para el manejo de datos personaies y que se encuentre en operacion, debera contar con pistas de auditoria o bitacoras de acceso a ias bases de datos.

Las pistas de auditoria deberan estar encriptadas para evitar que personas no autorizadas tengan acceso a esta informacion.

Las pistas de auditoria para evitar saturacidn en las bases de datos, deberan contar con mecanismos de depuracion y desactivacidn de ia funcion.

10. Toda transaccion realizada, sea por personal autorizado o no debera crear un registro de seguimiento.

De Ios Encargados y Usuarios de Sistemas:

11.

12

13.

Si el sistema no cuenta con pistas de auditoria o estas no contienen toda la informacion requerida para garantizar accesos controiados, entonces debera utilizar una bitacora de accesos, la cuai contendra la siguiente informacion:

I. Datos completes del Encargado y Usuario

II. Modo de autentificacidn del Encargado o Usuario

III. Fecha y hora en que se reaiizo e! acceso, o se intento el mismo

IV. Sistema de datos personales accedido

V. Operaciones o acciones llevadas a cabo dentro del sistema

VI. Fecha y hora en que se reaiizo la salida dei sistema

Son responsabies de ia correcta operacion dei sistema, por to cua momento garantizar la integridad de ia informacion.

Es su responsabilidad ia custodia de las ciaves de acceso y cua!qt|ii Ie den a estas.

eberan en todo

uso que se

, * -

4 DE NOVEMBRE DE 2006 PAGiMA: 5 DE: 9


/

rr.r.r—rr.^vrrr.r^.—.^vr^

msmim' ~-


^..jr^r—rr.rrr.^vrr—rr——^v^r^ rrrr—rrrrrrr—r.^vr^^rrr—r—^v.—rr^r—^


1-.—.^•--.-AWA-AVAW^AX.

^ —...-...-. —- ...-

Clave: VST-DA-PR-013-03 No. Revision: •T.-A\-_^_-AW_^_l_VJ_ ^v^..r.jrjrrrrr..^r—r^

Emision Original: 14-11-2006 JRevision: Liconsa

^vrrr.rrrrrr.rr^vr—^,—r—^

14. En caso de detectar cuaiquier aiteracion a ia base de datos sin autorizacion reportarlo de manera inmediata al Responsable del Sistema.

15. Como parte de sus funciones, deberan apoyar a! seguimiento a transacciones no autorizadas y preventives al respecto.

Responsabie del sistema, para dar apiicar mecanismos correctivos y

. • -

^

/ /

••

FECHA: U DE NOVJEMSRE DE 2C0i PAGINA; 6 DE;

DIRECCldN DB ADMINISTRACION UNIDAD JURIDICA

r—r..... II trrrr^ ^ \ - . - A - A - . — - • - • J l

- \ ^r.-.rf^ ' ^- >


^vjr.rjrr.rrrj.rrt .j.r rrr——r—rrrrrrr——rr^-r.rrr—.j^-.jrr^vr^r—^ -

Procedimiento de Auditoria y Rastreabilidad de _ _ Operaciones



^.r..rr.rjrrjrr ^^jrrrr^r—^^vrr^

No. Revision:

^v—rrrrrtr


vrrrr—r^v^

Paso Num*

rrrrjr.rrr—rrr^


1

2.

3.

4.

5.

6

7.

Responsable Encargado y Usuario del

sistema

Nombre y clave del


Si el sistema no cuenta con pistas de auditoria o estas no contienen toda la informacion requerida I para garantizar accesos controiados, entonces | debera utiiizar una bitacora de accesos

rrrr^..rrrrrr^r—r^rj

le dei Sistema

Encargado y Usuario de!

sistema

Anatiza ias bitacoras o pistas de auditoria, si encuentra aiguna anomalia ie da seguimiento con apoyo de ios Encarga

analisis Apoya en el analisis de detectadas en tas bitacoras

las incidendas i


informa sobre ias incidendas y ei resuitado del anaiisis al Comite de Seguridad

--t"-'—

Comite de nformacion

Apiica en su caso ias medidas correctivas y; preventivas correspondientes

Responsabie | Depura periodicamente las bases de datos del Sistema I

rrr—rrrjrj^.jr^rjj

ie dei Sistema

A! menos cada tres meses revisa e. cumplimiento de las medidas de seguridad | aplicables para la proteccidn de ios sistemas de | datos personaies

— ^ ^ - ' ^ - ^ ^ ^ ^ ^ ^ ' - I I I I I I I I I I I I I I I I i i 1 1 I I I 1 1 I I I I I I I ^ ^ - - ^ . ' . ' . . '

FIN DEL PROCEDIMIENTO • ~ ^ ^ . . . - . — — . . — . . - . - . . . ^ . . . - . . . . - . - . ^ - . . . — . . - . . . . -rrr^-rr.—rr. r—rj^-.—^vrrrj—rrr—jrj.rjj

Bitacora de accesos

Bitacoras de Incidendas

-r^.—rrrrrr

I nf o rme

^vjrrrr^vr.

Lista de Chequeo

FECHA; U OE ^iOVlEM8RE OE 2GC6 PAGfNA; 7 DE; 9

DIRECCION DB ADMINtSTRACldN UNIDAD JURIDICA

-r.r^-r.rrrr—rr.rrrjrrj.rjj


-rr.r..r—r.——r^


h rj-—j-rrj-—j-rj-r-r.---^—^—-^ r" h . - i - . u _ i i i i

Clave: VST-DA-PR-013-03 ^..r.t I trr—rr.rrrrr.rr^r^

Emision Original: 14-11-2006 -rr.rrrrrrr^vr—r^r^r^r^

No. Revision:

Revision: -rrr^.—r.r^vjj

DIAGRAMA DE FLUJO

No

inicio det Proceso

Apoya en el analysis de las incjdencias detectadas

B

^

B, £HCAHOAOOS Y USUARlOJ SIST6MA

c^ CQUtri DE mfORUAOdn

DEL

. - '

informa sobre ias ifK;idendas y el resuitado

A

Apiica :as medidas con^ctivas y preventivas

Depura periodicamente ias bases de datos

6 J

cada tres meses r v^sa el cumplimiento de las medidas

de seguridad

7

Informe

FECHA: U DE NOVEMSRE DE 20G6 PAGFNA: e DE: 9

DIRBCCION DE ADMINlSTRACldN UNIDAD JURIDICA



' * ' ' l l l l I I I I I I l l l l l I I I I I I I I I I I I I I I I I ^ . - . ^ — . . - . - . . . - - ~ - . ' . ' ' . . ' . '

Clave: VST-DA-PR-013-03 ^.^v^ rr^v..rr—r—^r^

No. Revision:

Emision Original: 14-11-2006 I Revision ^— . —-... - - - -. --..- -...—.- ^vrrrrrr—rrrr^LT^


Revision Num.

00

Fecha de Aprobacion Descripcion del Cambio Motivo (s)

] Documento Nuevo rrrrrrrrrr—rr^v—jr—r^ i -A^- \w_ i r-^-ii rrrr——rrr—r

^v^.—rjrrrrrrt

^..r.tt I I r.rr.rr—^ V

n r*f

-rrrrr—rjr.r^ ^vrrrrrrMr—^r^ ^..r——rr.rrrr^r^

I ; r > r 1 r

r t

I -r > r '

^ i > 1 > 1

f 1

f i I i L ' 1 i 1 1 1 1

FECHA: 14 DE NOViEMBRE DE 20' PAGINA: 9 DE:

DIRBCCldN DE ADMINlSTRACldN UNIDAD JURiDICA

—r—rr^ 1-AX.-A-AV-—AV—I -rr. I tt—jrr.—r.r——^


^..rr—.^vrr—j.r^ -rr.rjrjrrrr——^ I—.—.—AV.-AV-V-^—•Jl

Procedimiento de Notificacion, Gestion y Respuesta ante Incidentes

Clave: VST-DA-PR-013-04 No. Revision: I—A^\-.- .-AVAW—fJ" 1-.---A-A-.-A^-\-AV-^—•Jl



^...^vrr.—^

gfesias Subdirector de Desarfcllo de Sistemas

informaticos

Reviso:

ic. Francisco Javier Madrid Lino Titular della Unidad Juridica

Aprobo:

ic. Daniel Aceves Villagran Director de Administracion

Fecha de documentacidn; Revision numero;

Copia numero; Copia asignada a:_



^v^.^^..rj.^-.r.^-^-.—^rj—r—r.rr..rrrrr—rrr——r—r.rrr——^



Emision Original: 14-11-2006 ; Revision:


Pagina

Objetivo

Politicas de Operacion 4


Diagrama de Flujo 7


ECHA' 14 DE NOViEMBRE DE 2006 PAGINA: 2 DE; £

DiRECCidN DB ADMINlSTRACldN UNIOAD JURiDICA

5 ^ : 1 ^

rrrrrrr^...-


.J j—rr..rr^..j-r..r^vr^v..r. t t ..rr.rrrrrrrr—r^ I—.-.—.-A\X.X.^W.--^—V.-AVJ.


^vrrr.r^-^v^..rj^—jr..r.r—..r.r^v—rr^ -rrrjrrr^vr.jrr^r^v^

Clave: VST-DA-PR-013-04 No. Revision: ^v.r.rr—rj^-^-.rr.- ^.^vr^vrr.r^..r—. .^v.——r^

Emision Original: 14-11-2006 i Revision Uconsa

rr...r.rr—^

OBJETIVO

Contar con mecanismos de gestion ante incidentes que se presenten con los

sistemas de datos personales.

r

y

FECHA; U DE NOVIEMBRE DE 2C06 PAGINA; 3 DE; 3

-^^^

Of: r:.ClON DB ADMINISTRACION UNIDAD JURiDICA

^v. I I I r.r.rr.r^v^.—^-rr.—r.—^



rrrrj.^..rr.rrr.rrr^r^v^

Clave: VST-DA-PR-013-04 No. Revision: ^...j^—. I I t .rrr..rrrrrrrrrjj -rjr.r.rrrr^vr.t t ttj^-..r..rrrrr^vr—r^v^

gmision Original: 14-11-2006 \ Revision:


Del Responsable del Sistema de Datos Personales:

1. Supervisar que la bitacora de registro de incidentes sea requisitada adecuadamente por los Encargados y Usuarios del Sistema.

2. Analizar conjuntamente con el Encargado dei sistema, el impacto de los incidentes presentados.

3. En caso de que aiguno de ios incidentes sea grave, debera notificario de manera inmediata ai Comite de Infomiacion.

4. Es su responsabilidad desarrollar ias medidas correctivas y preventivas correspondientes, con ei apoyo de los Encargados y Usuarios del sistema.

Del Comite de Informacion:

5. Analizara conjuntamente con el Responsable del Sistema, el impacto del incidente

6. Gestionara las medidas necesarias para notificar a los involucrados o afectados.

7. Tanto el area de Comunicacion Social como el Responsabie del Sistema, aplicaran las medidas de notificacion y gestion que se consideren convenientes para notificar a los afectados.

^ FECHA: 14 DE N0V1EMBRB DE 2006 PAGlf*,: 4 DE: 8

DIRECCldN DE ADMINlSTRACldN UNIDAD JURIDICA

^•-V.-.^_V_VJ_V_^-^ ' ^vr.—rrr.^v—r..rr.rrrjjrr^v—r^^rjjrjj ^..r..r.r^rrr^vr^


yr—rrr.rr^vrrrr^ ^vj.rrr——r--^-^


-rjrrr^v..j

Clave: VST-DA-PR-013-04 No. Revision: -rjrrrr.r^vr.r.rr.r.^r^

Emision Original: 14-11-2006 I Revision:

De los Encargados y Usuarios de Sistemas:

8 Son responsables de registrar en ia bitacora correspondiente todos los incidentes que se presenten en la operacion y administracion de los sistemas de datos personales.

9. Deberan registrar en dicha bitacora;

o Los procedimientos realizados para la recuperacion de los datos

u ndicar la persona que resolvio e! incidente

o La metodologia aplicada

o Los datos recuperados

'U Ei impacto dei incidente

10. Debera reportarlo de manera inmediata al Responsabie det Sistema.

fECHA: 14 DE NQViEJ^BRE DE 2005 PAGfNA; 5 DE; B

DIRBCCION DB ADMtNISTRACidN UNIDAD JURiDICA

jr—.r ^v^—.^-rrrr..^-r.r..^r^



^v.^v^vr...rrr—r—.——^r—r^v.r^


Emision Original: 14-11-2006 IRevision:


-rr^r—rrrr^r^vr—jr.j

Paso Num.

8

9.

Responsable

ncargado y Usuario del

sistema

Responsable det Sistema

Encargado y Usuario dei

sistema

Actividad

Reporta incidente a! Responsabie del Sistema

1-.—An-.^^_\-AVAV.-_tv—I

Nombre y clave del


Analizan ei incidente, determinan ei impacto y| ias acciones de recuperacion

10.

11.

12.

13.


Comite de nfonnacion

Informa sobre Informacidn

el incidente al Comite dei

Gestiona ias medidas para notificar a iosj afectados i

Area de Comunicacion

Social

e del Sistema


Sistema

i Aplican medidas de gestidn y notificacion a I afectados

OS

r—jrrr.r.rr^..rrj—rj.r—^rjrjrrj—rrrrr^r^Lrrr—r.^rj.r^ ^^.. — .- -

Registran ei correspondiente

incidente en ia Bitacora I

^ —.—-.. —...—...—.- . .... —..-.— .—

FIN DEL PROCEDIMIENTO ^vjr.——rr.rrrjr—rrr.

Informe

Bitacora

FECHA: 14 ^E NQViEMBRE 06. 2006 PAGFNA; 6DE: S I

DIRECCldN DB ADMINlSTRACldN UNiDAD JURIDICA


^vrj^—rr^..rrrr—.rr—^


Clave: VST-DA-PR-013-04 1-A-A-A-.-A\-.—^•_-_W_-A^J_


No. Revision _ v * ^

Revision: ^...rr——rr.——r^rr^

DIAGRAMA DE FLUJO

^

-^r

A,

C.

HESPONSABie DEL SISTEMA ENCARGADOS V USUARIOS SSSTEMA COMiTi DE INFORM* COMUNtCAClOH SOCiAL

DEL

Fin de Proceso

nicio de Proceso

I Reporta incidente ai

• • • . - f T ^

Responsabede Sistema |

1 1 B

1 1

Reporte

1 1

Analizan el incidente

I A,B

Informa Incidente a\ Comite de Informacion

J A

Gestbna las medidas para notificar a bs afectados

4 r^

i Aplican medidtis de gestion

y noti^cacion a los afectados

i A. D

Registran ei incidente en 'm Bitacora

6

informe

CcrTiunicado

FECHA: 14 DE NOVEMB^ PAGtNA; 7 DE: 8

DIRBCCldN DE ADMINISTRACION UNIDAD JURiDICA

^vrrr.r..r..r—^r^


^-. I I rrrr..^vrr.rr..rrrrrr^r^ ^..rjrrr—.—rrrr—rr.^ T.-_W.-_V_^J_ ^vrrrrrrrr—rr^


-r.j.rrrr—rjr^r—^

Clave: VST-DA-PR-013-04 No. Revision: ^..—r—^v^vrr^r^vr—r—^ -—rrrrrr—^r^j.r—^

Emision Original: 14-11-2006 | Revision: IT.—A-A-r_^j_

HISTORIAL DE CAIVIBIOS

^vr^.rjrrrjj

Revision Num.

Fecha de Aprobacion

00

Descripcion del Cambio Motivo (s)

25-10-2006 ; Documento Nuevo ^vrr—r^.—r—rjjr^ rrrr—r—^rrjj -rrrrr—^ rrrrrrrrrrjj

^vr^vt jr.rr^r^ -rrr—rrrrrrrr.

yr^r^vjj

^vrrrr^rrjj ^vr.—.r—j.rjjM

I II I III II

^vjr.——rr—^Lr^

^..r—r^v—jj rrrrrr——jjrr^ rrrrrrrrr—rr—^

rrjrjrrjrrjrr.tttt.rrjrrrrjj ^vtr—r.r——^ ^vrrr^vrr—jj

.^v—r—^r^v^ rrrrrr^v—^

irrjrrrjr.rrj—rjj -rrr-rrr—r^

FECHA: 14 DE NOVIEMBRE Dq 20G6 PAGFNA; 3 DE:S

DIRBCCldN DE ADMINlSTRACldN UNIDAD JURIDICA

rrr^-rr.—^...r.—r— . • • . • • • . . . . • . • . ••• • • I I r--rr.—-..r.-r _._.__-i-iiii n—.rrrr..^r.r— j-ur 1 -rrj—r.r.rrr.rj-


I I I I - . • . - . I I I I 1 ^ ^ - ^ ^ - - ^ - ^ - j j j j j j ^ I- I • • I- I- I I- I I I I- ^ TTT - • • • • . • • • • • • • • • • . — ^ ^ - ^ rrrr.rrrr 1

Procedimiento para el Control de Asignacion de Claves de Acceso

—-.—r. I I tr..r....r—rrr.rr— ^-rrj-^vrr^..rrrr.r— rr.rrr^v.r..rrrj

Clave: VST^DA-PR-013-05 No. Revisidn:



^vr^v.—rrrrrjrrjrj.^

'ez Iglesias for de Desarroilo de Sistemas

Infonnaticos

:eviso:

f^

Lie. iPranciico Javier Madrid Lino Tttulardi la Unidad Juridica

Aprobo:

Lie. Daniel Aceves Villagran Director de Administracidn

rtr—trrrrr

-rrj.^-—jrrrjt r.

Fecha de documentacion: Revision numero:


^vrr—.rr.^rrr^rjj.r^

14-11-2006 Original

rjrjr..r^..- -rrrt r—.rrr.-

FECHA: U DE NOVEMBRE DE 2006 PAGFNA: 1 OE:VO

OmBCaON DB AOmmSTRACiON UNIDAD JURiDICA

rr.r.r^-r.—.rrr^

^vr^vrrr.rrrr^^^ ^v—r^-r—r^ 1-.-.T-A—A-A^_V_li


^vrr^-r..rr^.^vrrr.r—rr^ 1-.-.T-.-A—A^—I


rtr^—.rrr^ T.—.-A-_W—I

Clave: VST-DA-PR-013-05 No. Revision: ^r—r^-r..^v.- T.-.T—.—^v_^—I ^vr.r—rr^v^

Emision Original: 14-11-2006 i Revision: Uconsa


Pagina

Objetivo

poifticas de Operacion


Diagrama de Fiujo 9


EECHA: M DE NQVIE^^RE DE 20C& PAGINA: 2 DE; '0

DIRECCION DE ADMINlSTRACtdN UNIDAD JURiDICA

-_\W.-.-A-AV_^—.-.---A^—•_f_li rr^vrr.rrj.r^ -r.rr.——r^ _r.^\w.-AW—•—I

/ •" ^v..

Manual de Procedimientos para la Proteccion de Datos Personaies

rrrrjr.rr.—^ TA-AV.——-_WJ_ -rrrrr.—r—jrjjjrrjj


1-.-.—.-.-A^—WJJ — r.r.rrrr—^ -rr. I I rrrrrrr.r^r^

Clave: VST-DA-PR-013-05 ^vrrrrr——J—irr^


No. Revision:

Revision: ^vrrr^v—^LT^vr-* rrr.rrr—rjr^

OBJETIVO

Implantar procedimientos para el control de asignacion y renovacion de claves de

acceso a equipos de computo y a los sistemas de datos.

FECHA; U DE NOVieMflRE DE 2006 PA(SNA:3D£: ^Q

DIRBCCldN DE ADMINISTRACION UNIQAO JURiDiCA

I—.-.—A-A\W^_^—I ^vt rrrrr.r^.—rr—^ I—.T—.T—.—.—A-A\-.—AW.-A^_li


I—.-A--^—w^ 1 - ^


-rr.—.rrr^r^r^

Clave: VST-DA-PR-013-05 No. Revision: rr...r—.r.- -rr—r.^.—r—r^ _-.-.-.—_-I-.T^VAV.-.-.-A\W_li



De los Responsables de Sistemas de Datos Personales:

1.

2.

3.

4.

5.

6.

Seran ios que controlaran la asignacion y renovacion de claves de acceso a equipos de computo y a los sistemas de datos personales asignados a Encargados y Usuarios que operan sistemas de datos personaies.

Seran los encargados de definir los perfiles que deban cumplir las asignaciones y las renovaciones de las claves de acceso a equipos de computo y a los sistemas de datos personales asignados a Encargados y Usuarios que operan sistemas de datos personales.

Seran ios responsabies de definir y de supervisar e! tramite de asignacion y renovacion de las ciaves de acceso a equipos de computo y a los sistemas de datos personales asignados a Encargados y Usuarios que operan sistemas de datos personales.

Seran ios responsables con cinco dias habiies anteriores a la aplicacion, de soiicitar a la Subdireccion de Desarroilo de Sistemas Informaticos, la aplicacion de los perfiies de asignacion y renovacion de las claves de acceso a equipos de computo y a los sistemas de datos personales, especificando expiicitamente sl se trata de una asignacion o de una renovacion a un equipo de computo o a un sistema de datos personal. / \

Del Manejo de Contrasenas:

Las contrasenas son parte fundamentai de la seguridad de !a informacion. Son la primera linea de defensa de ias cuentas de usuario para cualquier sistema, aplicacion o servicio que las utilice como medio de acceso. /

La seleccion de contrasenas, su uso y administracion como contro! de acceso a sistemas de informacion, no deberan persona aiguna por ninguna razon o circunstancia.

ledio principal para fer compartidas con

V i

^'

FECHA: U DE NOVIEMBRE DE 2G06 PAGINA: 4 DE: 10

DiRECCiON DB AOmmSTRACidN UNIDAD JURiDICA

-jrjrrrrrr.r^ I—.n-A\ -A \w_ i i -t rrr.^—r.r^r^


^ • • • - - - • • • - — -rrrr—r.r.r^r—..—r.^-rr^ ,—A-.^--.-—w^ ^vrr.^r—^


rr.r.rrr^r—r—^ ^-... — . rtr—rrr—.-

Clave: VST-DA-PR-013-05 No. Revision: 1-.T—AV.-.-AW.—AV.-A—.^•-V—-A\-_—.•—I


7. Creacion de contrasenas

Las contraseilas deberan crearse siguiendo los siguientes puntos:

- Debera integrarse con al menos ocho caracteres, alfanumericos.

- Debera considerarse e! uso de letras mayiisculas, minusculas y numeros.

- At ingreso por primera vez al sistema, el usuario debera ser obligado a cambiar su contraseria.

Despues de noventa dias, el usuario contrasena.

debera ser obligado a cambiar su

En et caso de sistemas, que la Entidad considere como sustantivos debera establecerse ei uso de contrasenas mancomunadas.

9.

10

8. Prohibiciones

Las actividades que se prohiben en e! manejo de ias contrasenas incluyen, mas no limitan, las siguientes:

Compartir ias contrasenas

Tenerias en un Iugar visible (monitor, teclado, etc.)

Utilizar datos personales en la creacion de contrasenas

Utiiizar contrasenas por default def sistema, tales como admin, administradar, , \ '^ etc.

Repeticidn de contrasenas anteriores

En caso de que ei usuario cause baja, ia contrasena debera ser revocada y eiiminada, asi como la garantia de que esa contrasena no sera reasigp 'ada a otro usuario.

En caso de contrasenas con acceso privilegiado, se debera firmar u compromiso para no compartir las contrasenas ni ia informacion.

FECHA-. --i

- > " •ry-M

* de

REDE goes PAGiNA: 5 OE: 10

DIRECCldN efe ADMINlSTRACldN UNtDAD JURiDICA

j-t\ I trr^vrr.rrrr^r— -rrr^.rrrrr^rrr.rrrr-r—.- ^ r r . . r - - _ • _ • _ • • _^_,_^-__--_„ ^ -^--JJJ^_^ . • . • . • . • . . - " i ' ^ . • • . • " -


——r—r.r^r^... rrrrrrrrrr—r-- 1—i . ^ - r - r . r — r . - . - . • . • . - A M I • • rrrrr-r . - . r . . . - r - i i i i i


rrrrr

rr.rr.^vrrrt rr.rj ^rr^v—.rr..rrj

Clave: VST-DA-PR-013-05 No. Revision: rrrr^^—^^-— i-rA-.-A\—.-.

Emision Original: 14-11-2006 jRevision: vrr—r—rjrrrM rrr^v..——j.—rr—rj

11. En el caso de que el usuario abandone su lugar de trabajo, debera dejar bloqueada !a pantaiia con ia contraseria o cerrar ia sesion.

De la Seguridad de los Equipos de Computo que contengan Sistemas de Datos Personales:

12. Los equipos que contengan informacion de sistemas de datos personales, no deberan ser compartidos, ademas de! asignatario del equipo de computo, tendran acceso al mismo ei persona! de soporte tecnico designado por ta Subdireccion de Desarrolio de Sistemas Informaticos y ei persona! de la misma Subdireccion las veces que sean necesarias para garantizar ei dptimo funcionamiento dei equipo de computo y dei sistema de datos personal.

13. Los equipos que contengan informacion de sistemas de datos personaies, no deberan ser utilizados para almacenar musica, fotograflas, peifcuias y en generai cualquier informacion ajena a la Entidad.

14. Los equipos de computo que contenga sistema de datos personales, ademas de este, solo podra contener ei software institucional.

15.

16.

17.

La Subdireccion de Desarroilo de Sistemas Informaticos garantizara ei optim desempeno del equipo de computo y dei sistema de datos personales, si y solo si, cumplen los dos parrafos anteriores y los Responsabies, Encargados y Usuarios { equipos de computo y sistemas de informacion personal no instalan, desinstaian ^/o cambian ias configuraciones del equipo de computo y del sistema de informacid personal.

La Subdireccion de Desarroilo de Sistemas Informaticos garantizara el optim desempeno del equipo de computo y del sistema de datos personaies, si y soio si, e equipo de computo no abandona ei inmuebie de Oficina Central.

El respaldo de informacion que el Responsable, Encargado o el Usuario del sistema de datos personaies que deposite en ia RED, sera responsabilidad de la Subdireccion de Desarroilo de Sistemas informaticos y la informaciorf que sea depositada en ei disco duro dei equipo de computo, sera responsabilidad'dei Usuario y debera reaiizar ei respaldo de la misma. La Subdireccion de Desan^ollof de Sistemas informaticos no sera responsable ni intentara recuperar informacion cfeLdisco duro det Usuario.

FECHA: 1 i-iOViBMBRE DE 2006 PAGSNA: 6 OE: tO

DIRECCldftDE ADMINISTRACION UNIDAD JURiDICA

—.r^-r.rr—.rr—M

^%M

-J-J-——J- . - L ^ r j . r - r j - r r r r r r r r ii i ' i ' i ' i i i i ' ii -- - i i ' i i i ' i i i ' ii i i i' ' i ' i ' i 'i i ' i ' i i ' i '


i i i i i i i i i i i i l l l l l l l l l l l l l I I 1 1 1 1 ^ . - — - . ' ' . . ' . ' ' . ' . . ' . ' . ' ' . — . - . . - . - ^ . . . ^ . ^ . . ^ . ^ . ^ J — ^ . . . - . ' . ' . ' . . ' ' . I I I I I I I I I I I I I I I I I I I ~ I r^J-^J-^J-' -^' ' " I ' l ^ i i i i i i i i i i i i i i ^

Procedimiento para el Control de Asignacidn de Claves de Acceso

rr^vr^..^-r.—r.—rrjrrrj rrr.rr^-^vrrrrrr.r.. —-rrj-rj-r.rtvrj-^v..rrrrr—

Clave: VST-DA-PR-013-05 r \jrr^Lrr^vrr—.. ^^- -..- -- - •T-.—.-—•*•—V.-A^—


No. Revision: -rj-.^——^

Revision: ^ —.- ^-.r—rjjrrrrr— ^rrrr.rrrr.r——

Del Usuario de los Equipos de Computo que contienen Sistemas de Datos Personales:

18. Sera el responsabie de salvaguardar la integridad, seguridad y confidenciaiidad de ta informacion empresariai, ei software y ei hardware que este contenido en su disco duro yen !a red.

19. Sera su responsabiiidad y debera comprometerse a respetar tas configuraciones de software, de hardware, a utiiizar su disco duro, su unidad de red, ios servicios de comunicaciones propiedad de LICONSA y que esta le preste para desempenar las funciones para ias cuales fue contratado.

20. Sera su responsabiiidad no sacar de! inmuebie de Oficina Central, ni permitir que otros la saquen.

21. Sera su responsabiiidad no prestar e! equipo de computo a excepcion del personai de soporte tecnico y del personal de ia Subdireccion de Desarroilo de Sistemas informaticos.

22. Sera su responsabiiidad ia elaboracion y el controi de los respaldos de su disco duro, al menos una vez al mes.

23. Sera su responsabilidad no instaiar, desinstalar o modificar las configuraciones dei equipo de computo y dei sistema de informacion personal y en generai de cualquier software que se le preste para desempehar sus funciones.

24. Sera su responsabilidad soiicitar a traves de ia mesa de ayuda (helpdesi() la instalacion, desinstalacion, modificacion de las configuraciones de software, hardware y cuaiquier otra actividad que sea competencia de la Subdireccion de Desarroilo de Sistemas Informaticos.

.-nvK^-

-^

FECHA;'14 D£ NDVlEMBRE Dg 200f ^AGfNA:?[)E: 10

DIRECCION DB ADMINlSTRACldN UNIDAD JURIDICA


— vr—j^-rrrr—rr^


!Clave:VST-DA-PR-013-05 ^..r.rrr.^vr^vrrr^rr^

Emision Origmal: 14-11-2006 —r—rr..rj.r^r.

No. Revision:

Revision: ^.^....r—rr^


Paso Num.

1

i r - ^ —

4

6

7

t ^


Responsable del sistema

Definir y controlar ias soiicitudes de asignacion o renovacion de las claves de acceso. Y solicitario con una anteiacion de 5 dias habiies a la SUBDIRECCION DE DESARROLLO DE SISTEMAS INFORiVlATICAS la apiicacion las reglas para ia asignacion o renovacion de claves de acceso.

Subdirector de Desarrolio de

Sistemas Informaticos

Apiicar las reglas que gobiernen ias ciaves de acceso.

Responsabie del sistema

-rrr—rrjr^r^

Definir y supervisar ei tramite para la asignacion y para la renovacion de las claves de acceso.

Responsabie del sistema

Supervisar la discrecionalidad y el cambio mensual de ias claves de acceso al sistema.

- j _

Encargado y Usuario del

sistema


sistema

Eiaborar tos respaldos de sus discos duros al menos una vez a! mes.

r—rr—^rj—^/^ ^yA-.—.-A-j_w^ ^vr—rrrrr—^

Soiicitar a traves de la mesa de ayuda cualquier cambio que necesite en ias configuraciones, hardware y software para ia optimizacion de sistema.

jr^—rrr.jrrrrj.rrr^ ^vrjt.—r^ ^v.r—r^—.

Subdirector de Desarroilo de

Sistemas informaticos

Optimizar el equipo de cdmputo para su mejor desempeno y de! sistema.

rrrrrr.r--*—J--^

FIN DEL PROCEDIMIENTO

Nombre y clave del


Control de Claves

-H

FECHA: 14D^NOVfEM3R*DE^0u6

DIRECCION OB ADMINlSTRACldN UNIDAD JURiDICA

rrr^r.r—^ i -An- . -A^—vj_

r——.r...rr^r^


rrrr.^.—rr.r^..^


. - ^^^^ -v -w-^^ ^ ^ ,_, ^ ^ r r r r . r . . . r ^ - .

Clave: VST-DA-PR-013-05 No. Revision: -rjrrrj^-rrr..—r—rrrr..rr—r.

rrrrrr^vrr^vr..rr—rr^ 1-.—^•_V_^_L^_^_l i rrrr^.r.r.r^ 1-.—.—AV_^^

Emision Original: 14-11-2006 ! Revision:

DIAGRAMA DE FLUJO

%

-^

i

. i^ A. RESPONSABLE D£L S^ST a ENGARGASQS Y USUARIOS OB-

SfSTEMA c. smoimcam DE DB^AHHOLO

SISTSMAS iNFOR^TiCAS

Fin de pToeesG

Definir y controlar las solicitudes de asignacion o renovacion de ias claves de

acceso

1 A

Aplicar ias regias que gobiernen ias claves de

acceso

Dei'iHir y supen/isar el tramite para la asignsciori y

para la renovacion de ias daves de acceso.

A

Supervisar la discrecionalidad y el cambio

mensuai de las claves de acceso

T

A

Eiaborar Ics respaidos de sus discos duros al menos

una vez ai mes-

^

1 SoNdtar a traves de la mesa de ayuda cgalquier cambio

que necesite en ias configuraciones

6

X

B

-J 1

Control de Ciaves

I — ^ Reporte

Optim^rarei equipo de

desempeno y de; sistsma.

FECHA: 14 05

QSRECCiOM OB Aa&^^^lSTRAC!0f4 UNIDAD JURIDICA

I—A—A-.—.-A—A\-_^_W_0'


rr.rrr.r^.—rjr^r^r^ 1-.-A-_V_^X^J_

Procedimiento para el Control de Asignacidn de Claves de Acceso

rrr..rr.r^r^

I Clave: VST-DA-PR-013-05 No. Revision: ^vr..rrr. ^v. I t.^vr—rr—^

Emision Original: 14-11-2006 1 Revision: Liconsa

1-A—.•_V_L^_l


rrrrrrrrjrrjj rrrr—rrrr—^

Revision Num.

Fecha de Aprobacidn

j-.-J--r-rr—

00

Descripcion del Cambio Motivo (s) rrrrt—jrrrrr^r^

r

\ Documento Nuevo rrjrrji.rjrjrjj

^vjirjr^vjj rrAT.^_-_^_i

^vrrrrrrjirjj rrrrrjrrjrjj

- I

^v—rrrr—^

1-.—_\-A\—.-.•^

^vrrrrr^r^vrr^ rrrrrrrrtrr—^

rrrrrrv—JJ

-rj-rrrrr— rrrrj^-^J----— -rjrrjrrrrrjj ^vrr^rrr^

rrrrrrrrwr—r^ • _ v _ w j x J

. - - • " "

—rj-rr.^-rrr-r^—'-r-* j mtj-r-rrrrrrt

fECHA: 14 BE NOVIEMSRE DE 2006 PAGiNA: 10 DE; '.0

DiRBCClON DE ADMiNISTRACION UNIDAD JURiDiCA

^v^v.r.rr.rrr^ rvrrrr.—rr^ 1-A-AW_LV_^J_ ^vrrt r.r^v—^r—j.r^


w-j-rrj-J-J--J—-<

^\-A-F. I I rrr^..rrrrr^v^v^v.rr.- rr.rr^v..^vr..rr^

Clave: VST-DA-PR-013 No. Revision: T.-I-.-.-.^\W_\-.^_li w-rrrJ--——-^

r

Emision Original: 14-11 -2006 ; Revision —^jrrrrr..rr^v^ ^vj.rr—....r^

Vlll. RELACION DE ANEXOS

^vrrr..^r—rrr.rr—r—^rrjjrrrrr—^ ^vrr^v—rrr^ r—rr—.r—rr^

Num. Nombre del documento Clave -rrrrrr—^.——rrrjr.r^ i-.-_rA\-xv_^xw_ii rr.r^v——rr—^

1. I Bitacora de Acceso Fisicos —^.rr^Lrrr^v—^ -r^vrrrr—^r^

I Bitacora de Acceso Electronicos

I Bitacora de Incidentes rrjrr.jrr.r^rr—^

4. I Control de Asignacion de Claves rrrr-r—rrr^

1-A-AVJ-.^—•JJ f-yr—rrr^

-r^-rr.jrj.rrr—rrrr—^rjr^v^r^ n^.-_\x^_^x. 1-AW^_^X^_l r r r r r r r } I

rt rrj.rj—r—r—JJ ^r^rrr^rjr—^ rr . -Ai-_v_vj_

•—.•_\-AV_^_li -rrrt .r.rrrr—r^ ^vt^v^-.rrr.r—^

rrrrrrrrrrjrr^ -rjrjr.rr^r^ -rjrj-*--^J-—^

— vrrrrr—J ^

-rrjr.jrjr.j 1-.-AW_i—_WJ_ rr.jr.rr—rj—r^ TA-A^—W_LLH *•

FECHA: ^4 DE NOVlEy^^E DE 2005 PAGINA: 1 DE; 10

DIRBCCldN DE ADMINlSTRACldN UNIDAD JURiDICA

-rA-.n-A-A^_—_•_-.—.-iw.-.—.-.-.-A^_-—^^ i-.^_v_\-_—A—.-.•-•j_


1-A-.—.-A\-.^_^—•j- 1-.1TA-AV.-.^—•—\W—I

i Clave: VST-DA-PR-013 No. Revision ..-.--.-...-....—

Emision Original: 14-11 -2006 ! Revision:

BITACORA DE ACCESO FfSICOS

DIRBCCldN DB ADMINIS TRA CidN UNtDAD JURiDICA

1—A—.-A—A—.-_w—\w— ^r.r.r-—r^..rrrr..^r^r.^..rrrrr^v..


rr.—r—rr—r—rrr.r—r—j

Clave: VST-DA-PR-013 j.r—r^.^vr—r—^r^ 1-.-AV.-.-AV.-.^—i_v—I ^vrr—r. t t rrt—.rrrrr^-rr.—r.rrr^-rr^j.rr^


No. Revision:

Revision:

liconsa

h44<+:

>r>X->ArJX->A-^^^'^^^v:^--'_rnTTnv^_»v_L\7

•^4 DE NGVEEMBRE DE 2006 PAGFNA: 3 DE: 10

DIRECCtON DB ADMINISTRACION UNIDAD JURiDICA

l l l l l l l l l l l l l ! I I I I I I I I I I I I I I r^v.r.r—^vr.rrj.rr—t i i i i i i i i i i i i i i i i i i i i . - . . - - ^ . _ - - _ _ _ - _ - - _ _ _ . . . ' * " • JJ-^ _ • n . . . . . . . . - , • • • • J J J J J J J J J J — . — . _ • •


1-A1-AV_V_^_li I—.-A-A-.—A—.-A-_

Clave: VST-DA-PR-013 No. Revision: 1-.—.•_\—A—AV_W_li -rjrr—.rrrr^v.rrrjj

Emision Originai: 14-11-2005 mevision:

BITACORA DE ACCESO ELECTRONICO

Liconsa

DIRBCCION DE ADMINIS TRA CidN UmOAO JURiOiCA

. rrr^ rrrjrrr^^—jr—^ -_\XAWA-.-.—.—_•_-—•^

-.^r^


Clave: VST-DA-PR-013 No. Revision: -_W_^_-A-_^_V_li


MM« ^^iM

ikm0

^ • ^

:HA: 14 DE NOVIEMBRE DE 2CC6 PAGiNA: SDE: 10

OIRECCldN DE ADMINlSTRACldN UNIDAD JURiDICA

. rrrrrr——...r^.^.^..r.rr.^v—rr.jr——^ ^vrrr^vrr—r.r^..-

X-_ V

•ri '-.%


1-A-A-A^V.-A-—VAWJXA_^J_ 1-A1-r i-AVAW_-.-A\W_r

Clave: VST-DA-PR-013 No. Revision: r jr^-r.r..r.rrrr—^ i-.-.x.-.-A-_v.—.—.•—v.—.•_\-A-A^—•

Emision Original: 14-11-2006 IRevision: - • - • - - I—.^-.-A\—A\1T1 A 1-.-.^VA-AVA—.•_\-_

BITACORA DE INCIDENTES

1

imn$$

HMAKWAn

DlRBCCtdN OE ADMINlSTRACldN UNIDAD JURiDICA

^- -...-....--.--..- - - 1-.-.-I—A—.—A\-A\-.^J_ 1-A-A-AV.-_-A-A\——-A^_\W_^_^—V^A-.^—I

>l^^^'rj^,^r. - -^ ^V


iCIave: VST-DA-PR-013


No. Revision:

Revision: IT.-.-AV.-_^_VA—A\-A-.^^_V—I

iconsa

Ikmm

DIRECCldN DE ADMINISTRACION UNIDAD JURIDICA

1-.1-A-A-A^—• 1-.—AX.-.-I^VA^\-_V.—-v.—A-.-.-A-.-AV_V—I


ITA-I—I—_VAVA-.^_^_\-_ rrrjr..rr—r——^

Clave: VST-DA-PR-013 No. Revision: ^vrr.j^—rr^rrrrr^

Emision Original: 14-11-2006 i Revision: I—.1TA-A\——•-•_V_^_^J_

-^^

r ^ '

y

"ECHA; 14 D£ N0ViE^13RE DE 2006 PAGINA: SDE: 10

DiRECCidN DE ADMINlSTRACldN UNIDAD JURiDICA


^ Ciave: VST-DA-PR-013

I Emision Originai: 14-11-2006 jt.—.rr^vrrrjj.rr—^

1-A\XAVA-.-.^—w_^—I

No. Revision: V r^vr^-.r——^vr—r.rrrrrr^r—^r^

Revision:

CONTROL DE ASIGNACION DE CLAVES

FECHA; id DE NOVIEMBRE DE 2006 PAGfNA; SDE; 10


^v.^.^-rrrr^vr^vr.rj-^ rrrrr—r^..r^

U^t&i'. Manual de Procedimientos para la Proteccion de Datos

Personales - - - - • - - — - • • • • - • • - • - • -


Emision Original: 14-11-2006 ; Revision:

Liconsa

FECHA: 14 DE NOVIEMBRE D£ 2006 PAGrNA; 1CDE; 10

DIRBCCldN OB ADMINlSTRACldN UNIDAD JURiDICA


^..rrr^v^vr. t t —r—rrrr- — _-A—AV_L^_VX^J_ 1-AV.—I-A—.—.-A-_

Clave: VST-DA-PR-013 No. Revision: y.—^vjjrjrr—^

Emision Original: 14-11-2006 I Revision: 1-AV.-.^-AWA—A^^AV_f_li •—AVAV.-_V^XV_li

IX. APROBACION DEL COMITE DE MEJORA REGULATORIA INTERNA

NOMBRE FECHA FIRMA

LIC. DANIEL ACEVES VILLAGRAN Director de Administracion

UC. FRANCISCO J. LARENA ^AJERA Director de Abasto Socia!

ING. JORGE LUIS SAiNZ PICOS Director de Produccion

ING. GONZALO E. ROBLES VALDES Director de Materiales

C.P. ANTONIO DE LA MATA HERNANDEZ Director de Finanzas y Planeacion

LIC. IGNACiO DURAN LOMELI Titular de la Unidad de Comunicacion Social

IsuLn^

Lie. FRANCISCO JAVIER MADRID LINO Titular de !a Unidad Jundica "^ VX 1 / 0 ^

FECHA. U DE NOVIEMSRE D£ 2006 PAGINA: 1 DE:1

DIRECCtON DE ADMINlSTRACldN UNIDAD JURiDICA

Download - MANUAL DE PROCEDIMIENTOS PARA LA … · el Sistema de Recursos Humanos ... la facultad de decision sobre el uso y destino de sus datos ... Decreto por el que se deroga la Fraccion

Top Related