ESPECIFICACIONES EN MATERIA DE SEGURIDAD, FRAUDE Y PROTECCION DE LA INFORMACION
1. ASPECTOS GENERALES ............................................................................................ 3 2. CONTROL E INSPECCION DE LAS CONDICIONES DE SEGURIDAD...................... 4 2.1 Medios de supervisión y control .................................................................................. 4 3. INCUMPLIMIENTOS ................................................................................................... 5 3.1 Considerará como incumplimientos Graves: ............................................................... 5 3.2 Considerará como incumplimientos Leves: ................................................................. 5 4. SEGURIDAD FISICA Y ELECTRONICA...................................................................... 6 4.1 Sistemas de seguridad ................................................................................................ 6 4.2 Servicio de vigilancia .................................................................................................. 6 5. SEGURIDAD PERSONAS ........................................................................................... 8 6. SEGURIDAD TECNOLOGIAS DE LA INFORMACION Y COMUNICACIONES ......... 8 6.1 Cumplimiento de la política de seguridad de la información ....................................... 8 6.2 Responsabilidades de uso de sistemas y redes de Vodafone .................................... 8 6.3 Redes y sistemas ........................................................................................................ 8 6.4 Cuentas de usuario ..................................................................................................... 9 7. FRAUDE ....................................................................................................................... 9 8. Gestión de Continuidad de Negocio (BCM) ................................................................. 10 8.1 Estrategia de Continuidad de negocio 10 8.2 Planes de continuidad de negocio .............................................................................. 10 8.3 Gestión de crisis .......................................................................................................... 11 8.4 Validación operativa .................................................................................................... 11 8.5 Estándar de referencia ................................................................................................ 11 ANEXO A : Acuerdo de Confidencialidad Individual
12
ANEXO B: Normas y procedimientos de seguridad .......................................................... 14 RESUMEN NORMATIVA GENERAL DE SEGURIDAD DE LA INFORMACIÓN.............. 14 1. Introducción ................................................................................................................... 14 2. Correcto uso de la información
14
3. Identificativo de usuario y contraseñas ......................................................................... 15 4. Uso de la información fuera de los recursos corporativos ............................................ 15 5. Almacenamiento de la información en el entorno microinformático .............................. 15 5.1 Unidades de almacenamiento externo ........................................................................ 16 5.2 Almacenamiento de información en dispositivos móviles ........................................... 16 6. Uso de correo electrónico y acceso a Internet .............................................................. 16 6.1 Medidas de seguridad para la utilización del correo electrónico ................................. 16 6.2 Medidas de seguridad para la utilización de Internet .................................................. 17 7. Antivirus y protección frente a programas maliciosos ................................................... 17
8. Conexiones a la red de datos ........................................................................................ 17 8.1 Conexiones de equipos a la red de datos ................................................................... 17 8.2 Acceso desde la red de datos de Vodafone. ............................................................... 17 8.3 Acceso a la red de datos de Vodafone ....................................................................... 17 9. Legislación en materia de datos de carácter personal .................................................. 18 10. Comunicación de Incidencias ...................................................................................... 18 RESUMEN NORMATIVA DE SEGURIDAD FISICA PARA PERSONAL EXTERNO EN INSTALACIONES DE VODAFONE………………………………………………………………………..……….. Error! Bookmark not defined.
1. ASPECTOS GENERALES Las disposiciones contenidas en el presente documento, se entenderán en todo caso sin perjuicio de lo establecido en el contrato del que trae causa el presente anexo El PROVEEDOR asume plena responsabilidad sobre la idoneidad técnica, legal y económica de los sistemas, procesos y procedimientos relacionados con la protección de instalaciones, equipos, materiales e información relacionadas con las actividades objeto de este contrato así como de cuantas pudieran derivarse de las mismas. Es asimismo responsabilidad del PROVEEDOR atenerse a toda la normativa de obligado cumplimiento y a la buena práctica que en cada momento sea aplicable a la actividad que ejecuta, tanto en sus aspectos técnicos como administrativos. El PROVEEDOR deberá prestar su colaboración a la Dirección de Fraude, Riesgo y Seguridad de VODAFONE en España (en adelante, Dirección de Seguridad) en todas aquellas actuaciones e investigaciones que, ante un incidente de seguridad y/o fraude, pudieran ser necesarias. En todo caso, el PROVEEDOR será responsable de informar a la Dirección de Seguridad, y en particular, a la persona que VODAFONE designe como Responsable para ello, sobre cualquier incidente de seguridad y/o fraude que ocurra, así como de cualquier circunstancia de riesgo que se detecte por el PROVEEDOR, y que pudiera suponer una amenaza para los intereses de VODAFONE. El PROVEEDOR deberá contar con las debidas autorizaciones otorgadas por parte de los órganos competentes en materia de seguridad. El PROVEEDOR deberá contar, en su caso, con empresas proveedoras de servicios de seguridad y vigilancia debidamente homologadas por parte de órganos competentes en materia de seguridad privada. El PROVEEDOR se obliga a formar e informar a sus trabajadores sobre la política de seguridad, normas y procedimientos que les apliquen como proveedores de bienes o servicios de VODAFONE, debiendo acreditar el cumplimiento de dicha obligación en caso de ser requerido por VODAFONE. En caso de que ocurra alguna incidencia de seguridad durante la vigencia del presente Contrato, el PROVEEDOR se compromete a informar inmediatamente al Departamento de Fraude, Riesgo y Seguridad de VODAFONE en España.
El PROVEEDOR será responsable de garantizar el cumplimiento de lo estipulado en estas cláusulas por parte de cualquier otra empresa subcontratada por el PROVEEDOR para la ejecución del siguiente contrato. Además el PROVEEDOR deberá de comunicar esta situación al departamento de FRS.
2. CONTROL E INSPECCION DE LAS CONDICIONES DE SEGURIDAD 2.1 Medios de supervisión y control La Dirección de Seguridad, a través del Responsable que designe, podrá llevar a cabo en cualquier momento (incluso con anterioridad al comienzo de la prestación del servicio) una auditoría de control, verificación y supervisión sobre las condiciones de seguridad en las que el PROVEEDOR, o sus subcontratas, realice los trabajos adjudicados, con el fin de asegurar que las normas y procedimientos de Seguridad incluidas en el anexo B, se ejecutan en todo momento. Posteriormente la Dirección de Seguridad emitirá un informe en un plazo no superior a 48 horas desde la conclusión de dicha auditoria, en el que se recogerán las deficiencias encontradas. En caso de que dichas deficiencias sean calificadas por la Dirección de Seguridad como Graves, éstas deberán ser subsanadas por el PROVEEDOR con anterioridad al inicio de la prestación del servicio, si la auditoría se hubiera efectuado con anterioridad al inicio del servicio, o en un plazo no superior a 15 días naturales desde su comunicación formal (o en un plazo superior si éste es acordado y aceptado por escrito por VODAFONE). Por otro lado, y en el supuesto de que dichas deficiencias sean calificadas por la Dirección de Seguridad como Leves, éstas deberán ser subsanadas por el PROVEEDOR en el plazo de 30 días naturales desde la notificación formal del informe (o en un plazo superior si éste es acordado y aceptado por escrito por VODAFONE). El PROVEEDOR permitirá a VODAFONE el acceso a la documentación original justificativa del cumplimiento de sus obligaciones derivadas del contrato, así como a cuantos equipos e instalaciones que intervengan en la prestación del servicio, para lo cual, pondrán a disposición de VODAFONE al personal necesario con dicho fin. En caso de que se abra una investigación como resultado de una incidencia de seguridad, el PROVEEDOR se compromete a colaborar y prestar la asistencia técnica que le sea requerida por VODAFONE.
3. INCUMPLIMIENTOS Cualquier incumplimiento del contrato en materia de Seguridad, Fraude y Protección de la Información, será comunicado por la Dirección de Seguridad al PROVEEDOR, mediante la correspondiente acta de incidencias cuyo recibí deberá ser firmado por el PROVEEDOR. Sin perjuicio de lo establecido en la Cláusula Séptima del Contrato de PROVEEDOR, la Dirección de Seguridad: 3.1 Considerará como incumplimientos Graves: El incumplimiento sustancial o habitual de las normas y procedimientos de Seguridad incluidas en el anexo B. La obstaculización por parte del PROVEEDOR de las tareas de control e inspección que corresponden a VODAFONE España o su personal autorizado. 3.2 Considerará como incumplimientos Leves: El incumplimiento puntual y no sustancial las normas y procedimientos de Seguridad incluidas en el anexo B. No proporcionar a la Dirección de Seguridad los informes y datos que le sean requeridos en virtud del presente Anexo. La acumulación de más de cinco incumplimientos leves en un período trimestral constituirá un incumplimiento grave, y la acumulación de tres incumplimientos graves a lo largo de la vigencia del presente contrato, dará lugar a la resolución del mismo. Estos incumplimientos serán cualificados por la Dirección de Seguridad. Si existiera discrepancia de calificación por parte del PROVEEDOR en las faltas graves no procedentes de acumulación de faltas leves, se podrá, a costa del PROVEEDOR, solicitar un informe a un facultativo ajeno a las dos partes y acordado y aceptado por ellas quien actuará como mediador. Dicho facultativo será seleccionado de entre las personas de reconocido prestigio en el sector de la seguridad, como experto en técnicas y estándares internacionales y locales en esta materia.
4. SEGURIDAD FISICA Y ELECTRONICA Los siguientes requerimientos de seguridad serán de aplicación general. El Departamento de Fraude, Riesgo y Seguridad, excepcionalmente y a requerimiento del Departamento de Supply Chain Management (SCM), podrá adaptar estas medidas a las circunstancias particulares del PROVEEDOR. 4.1 Sistemas de seguridad Cuando el PROVEEDOR acceda o gestione información o bienes de VODAFONE o de sus clientes, deberá contar con los siguientes medios de protección: •
Un sistema de seguridad que permita proteger las instalaciones contra el acceso no autorizado.
•
Un sistema electrónico para el de control de accesos mediante la utilización de acreditación individualizada y/o elementos de identificación biométricos.
•
Un sistema de circuito cerrado de televisión conectado a un sistema de grabación digital permanente con visión directa sobre los puntos de accesos físicos a salas y espacios donde se realizaren las operaciones objeto del contrato, así como de los equipos que dan soporte a las mismas.
Los equipos y sistemas de seguridad deberán ser instalados y mantenidos mediante contrato escrito por parte de empresa homologada por los órganos competentes. Cualquier deficiencia o avería detectada relativa a los equipos o sistemas de seguridad instalados y que suponga la inoperatividad del sistema deberá ser resuelta en el plazo máximo de 24 horas. Esta situación deberá ser comunicada por el PROVEEDOR de forma inmediata a la Dirección de Seguridad. En caso de que no se tomen las medidas necesarias para solventar las averías o deficiencias en el plazo marcado, la Dirección de Seguridad se reserva el derecho de solventar dichas averías o deficiencias a cargo del PROVEEDOR. 4.2 Servicio de vigilancia El PROVEEDOR deberá disponer, cuando VODAFONE así lo determine, de un servicio de vigilancia durante 24 horas, con sistema de CCTV instalado, con el fin de poder supervisar la instalación, el uso correcto de los sistemas de control de accesos, la atención las posibles alarmas de intrusión e incendio y cuantas otras actuaciones les corresponda dentro de sus competencias profesionales.
5. SEGURIDAD DE LAS PERSONAS El PROVEEDOR tomara las medidas necesarias para disponer de un escrito individualizado (ver Anexo A), firmado por parte de cada una de las personas que accedan a las instalaciones y a los sistemas donde se procese información de VODAFONE. En dicho documento, deberá recogerse, la aceptación, y reconocimiento de las normas de confidencialidad de VODAFONE. El PROVEEDOR se compromete a mantener archivados dichos escritos junto con la documentación acreditativa de la identidad de los firmantes durante todo el período de vigencia del presente Contrato y durante los 5 años posteriores a la finalización del mismo. El PROVEEDOR tomará las medidas necesarias para el cumplimiento efectivo de los procedimientos de identificación, registro y acreditación de cada una de las personas que accedan a instalaciones y sistemas donde se alberguen equipos, sistemas y/o se procese información de VODAFONE. 6. SEGURIDAD TECNOLOGIAS DE LA INFORMACION Y COMUNICACIONES 6.1 Cumplimiento de la política de seguridad de la información El PROVEEDOR, con carácter general, deberá de cumplir con las normas y procedimientos de seguridad de VODAFONE incluidas en el anexo B, y con carácter particular, el PROVEEDOR se compromete a implantar las medidas de seguridad descritas en el Real Decreto 1720/2007, de 21 de diciembre, por el que se desarrolla la LO 15/99 de 13 de Diciembre de Protección de datos de carácter personal que regula las Medidas de Seguridad para el tratamiento de ficheros de Nivel Básico, Medio o Alto, dependiendo del correspondiente nivel de los datos tratados. 6.2 Responsabilidades de uso de sistemas y redes de VODAFONE. El PROVEEDOR será responsable de todas las acciones que se efectúen en y desde los sistemas y redes de VODAFONE con las cuentas de usuario que se les proporcionen para la prestación del servicio contratado, siendo responsabilidad del PROVEEDOR tener identificados en todo momento a aquellas personas que los utilizan y proporcionar estos datos a requerimiento de VODAFONE. 6.3 Redes y sistemas. Las redes IP del PROVEEDOR que se conecten con la red de VODAFONE, siempre que sea posible, deberán estar aisladas tanto físicamente como lógicamente de cualquier otra red (ya sea privada o pública), incluyendo la red privada del PROVEEDOR.
El PROVEEDOR tendrá un perfil de acceso con el acceso mínimo necesario para realizar su trabajo, teniendo acceso exclusivo a las máquinas, a los servicios, a las aplicaciones y a la información que necesite para realizar su trabajo. Todos los ordenadores de sobremesa o portátiles del PROVEEDOR que se conecten a la red de VODAFONE, deberán tener instalado un antivirus, antispyware y antikeylogger, residentes y actualizados a la última firma y parche y/o versión de seguridad. El PROVEEDOR reconoce la capacidad de VODAFONE para monitorizar y registrar los accesos y usos de los sistemas y redes de VODAFONE. 6.4 Cuentas de usuario Las cuentas de usuario asignadas por VODAFONE, serán responsabilidad del PROVEEDOR, las cuales deben de estar asociadas a las personas que las utilizan en todo momento. Siempre que sea posible, el PROVEEDOR solo contará con acceso temporal y no permanente a los sistemas en producción. El PROVEEDOR se compromete a mantener actualizado en todo momento el inventario de su personal con acceso a las redes o sistemas de VODAFONE, comunicando a VODAFONE puntualmente y según los procedimientos que se establezcan las altas, bajas y modificaciones necesarias. El PROVEEDOR se compromete a colaborar según los procedimientos que se establezcan a la revisión periódica de los accesos concedidos a su personal en las redes o sistemas de VODAFONE y siempre que ésta lo solicite. El PROVEEDOR realizará pruebas de intrusión de su infraestructura técnica que esté dedicada a la conectividad con VODAFONE, evaluando el nivel de seguridad de ésta, obteniendo un informe de vulnerabilidades y planes de acción para reducirlas. VODAFONE se reserva el derecho de requerir este informe así como a solicitar el plan de acción para la minimización de las vulnerabilidades. El PROVEEDOR podrá ser monitorizado por VODAFONE, cuando se considere necesario para identificar algún riesgo potencial en la seguridad de la conexión y los accesos. 7. FRAUDE
Sin perjuicio de lo contemplado en la Cláusula Séptima del Contrato de PROVEEDOR, el PROVEEDOR se compromete a responder de todos aquellos perjuicios económicos, así como de cualquier otra índole, derivados directa o indirectamente del ilícito acaecido, que sufriera VODAFONE o terceras partes con las que VODAFONE mantenga el respectivo vínculo contractual, como consecuencia de todas las acciones u omisiones de carácter fraudulento llevadas a cabo por aquellas personas, físicas o jurídicas, que prestaren sus servicios efectivos para el PROVEEDOR, ya sea por cuenta ajena o mediante el correspondiente vínculo mercantil, quedando obligado asimismo a adoptar las medidas que estime más oportunas de vigilancia y control en aras de prevenir y evitar el incumplimiento de sus obligaciones, dimanantes de la antedicha relación contractual. VODAFONE procederá a poner en conocimiento del PROVEEDOR, con carácter inmediato, las actividades ilícitas descubiertas, a fin de que éste pueda poner fin inmediatamente a las mismas. VODAFONE una vez que tenga una valoración económica de los perjuicios que hubiera podido sufrir, pondrá los mismos en conocimiento del PROVEEDOR, el cual, deberá proceder a satisfacer los mismos de forma inmediata. VODAFONE podrá compensar esta deuda del PROVEEDOR con cualquier cantidad que VODAFONE deba abonar al PROVEEDOR por cualquier concepto. En el caso que el PROVEEDOR desatendiese el requerimiento de pago, sin causa justificada, el importe que en su caso deba resarcir a VODAFONE devengara intereses por mora de conformidad con lo que legalmente se establezca en cada momento, a partir del día siguiente al que VODAFONE señale como limite. 8. GESTIÓN DE CONTINUIDAD DE NEGOCIO (BCM). El PROVEEDOR deberá, con el objetivo de asegurar la disponibilidad y continuidad del servicio contratado por VODAFONE durante la vigencia del contrato, disponer de una estrategia de continuidad de negocio implantada y operativa. Esta estrategia estará compuesta por los siguientes aspectos: 8.1 Estrategia de Continuidad de negocio El PROVEEDOR deberá disponer de una estrategia de Continuidad de negocio debidamente documentada y aprobada por la dirección de la empresa. 8.2 Planes de continuidad de negocio
El PROVEEDOR deberá disponer y mantener operativos planes de continuidad de negocio que abarquen los siguientes aspectos: •
Identificación regular de los procesos críticos de la empresa
•
Planes de recuperación de los procesos críticos revisados regularmente
•
Planes operativos específicos revisados regularmente que cubran los siguientes aspectos: 1. Planes de reubicación de los inmuebles donde se realicen procesos críticos 2. Planes de producción alternativos de los entornos productivos 3. Los sistemas de comunicación y aplicaciones informáticas críticas que deben estar debidamente duplicadas en lugares geográficos separados o disponen de contratos para planes de respaldo con terceros 4. Las funciones expertas que deben estar identificadas y debe existir un proceso de sustitución 5. La información o registros críticos que deben estar debidamente protegidos y duplicados en lugares alternativos 6. Los suministros y suministradores críticos que deben estar identificados y deben existir planes de suministros alternativos 7. Servicios prestados a VODAFONE según los niveles de servicio definidos en los contratos
8.3 Gestión de crisis El PROVEEDOR, durante el período de vigencia del contrato, deberá disponer de planes de gestión de crisis para incidencias graves que cubran la coordinación, la recuperación y la comunicación con clientes y otros actores importantes en el mercado. 8.4 Validación operativa El PROVEEDOR, durante el período de vigencia del contrato, deberá contar con una estrategia de validación con el objeto de validar la efectividad de sus planes de continuidad de negocio y gestión de crisis. Estos informes estarán disponibles para su consulta por VODAFONE con el fin de asegurar que el servicio prestado a VODAFONE está garantizado en cualquier momento. 8.5 Estándar de referencia El estándar de referencia para la gestión de continuidad de negocio es el BS25999-2 publicado por el Business Standard Institute británico.
ANEXO A : Acuerdo de Confidencialidad Individual DATOS E INFORMACIÓN PROPIEDAD DE VODAFONE ESPAÑA, S.A.U. D./Dña. ................................................................., mayor de edad, con DNI nº .................... DECLARO: Que todo tipo de datos o información a la que pudiera tener acceso con ocasión de la ejecución y desarrollo de los servicios prestados en el marco del contrato o acuerdo firmado entre ................................................. y VODAFONE ESPAÑA, S.A.U. con independencia del medio en el que la misma se documente, ya sea papel o soporte informático, así como aquella información que me pudiera ser comunicada verbalmente, es propiedad exclusiva de VODAFONE ESPAÑA, S.A.U. Salvo autorización previa y por escrito de VODAFONE ESPAÑA, S.A.U., me comprometo a: •
No reproducir, bajo ningún medio, la información recibida.
•
Utilizar la misma únicamente para el desarrollo de las funciones o actividades que tengo encomendadas o deriven directamente de la ejecución de los servicios del mencionado contrato o acuerdo, y no divulgar la misma a terceros, sean éstos personas físicas o jurídicas, e independientemente de que su actividad no sea coincidente o confluyente con la actividad desarrollada por VODAFONE ESPAÑA, S.A.U.
•
No utilizar la información o sistemas propiedad de VODAFONE ESPAÑA, S.A.U. en beneficio propio o de terceros ajenos al desarrollo de los servicios enmarcados en el contrato o acuerdo con...................................................
•
Tratar y proteger la información recibida, o aquella a la que tenga acceso en virtud de la prestación de mis servicios, con la debida diligencia, para evitar tanto su pérdida como su divulgación, siguiendo las directrices que marca la política de seguridad, fraude y riesgo de VODAFONE ESPAÑA, S.A.U. que me ha sido comunicada.
•
Devolver o destruir a elección de VODAFONE ESPAÑA, S.A.U. toda la información o documentación a la que haya tenido acceso durante la vigencia del contrato o acuerdo firmado, una vez finalizado el mismo.
Las anteriores manifestaciones no son aplicables respecto de aquella información o documentación cuyo contenido sea conocido públicamente, o me haya sido facilitada por VODAFONE ESPAÑA, S.A.U. expresamente sin ningún tipo de restricción, por escrito o verbalmente, en cuanto a su uso o divulgación.
Las anteriores obligaciones subsistirán aun después de finalizada la ejecución del contrato o acuerdo y extinguida mi participación en el mismo. Asimismo manifiesto haber sido informado de que los datos personales que se facilitaron al inicio o durante la relación de colaboración suscrita con ..............................................., forman parte de un fichero titularidad de VODAFONE ESPAÑA, S.A.U. con domicilio en Avenida de América 115, 28042, Madrid y serán tratados con la finalidad del mantenimiento de dicha relación y de que en cualquier momento puedo ejercer mis derechos de acceso, rectificación, cancelación u oposición de los citados datos. De igual manera consiento que mi nombre, apellido y dirección de correo electrónico, puedan ser cedidos a todas las empresas del Grupo VODAFONE (las mismas se encuentran en la Intranet de VODAFONE) con la finalidad de homogeneizar las plataformas informáticas globales de VODAFONE. Por último conozco y acepto que el incumplimiento de las obligaciones anteriormente descritas, supondrá el derecho de VODAFONE a resarcirse de los daños y perjuicios que le sean ocasionados, sin perjuicio de las acciones que en derecho correspondan. Y para que conste a los efectos oportunos, expido la presente en .......................................... a.... de................ de 20... Fdo. ......................................
ANEXO B: Normas y procedimientos de seguridad RESUMEN NORMATIVA GENERAL DE SEGURIDAD DE LA INFORMACIÓN 1. Introducción Todo el personal externo autorizado a acceder o modificar la información propiedad de VODAFONE está sujeto al cumplimiento de la normativa de seguridad de la información, en concreto: •
Todo colaborador externo de VODAFONE, deberá guardar el obligado secreto profesional durante y después de su relación laboral respecto de la información de compañía o de los datos personales a los que tenga acceso por razones de su trabajo.
•
Todo colaborador externo de VODAFONE deberá cumplir estrictamente las cláusulas de confidencialidad, incluidas en los contratos de prestación de servicios, o aquellas que se hayan firmado con carácter personal.
VODAFONE quedará legitimada a tomar medidas legales oportunas en caso de incumplimiento de estas responsabilidades. 2. Correcto uso de la información Todos los empleados de VODAFONE y colaboradores externos, serán responsables de la no revelación, pérdida o indisponibilidad de información, ya sea de forma accidental o premeditada. Como norma general la información no debe sacarse del lugar de trabajo, salvo en aquellos casos en los que no exista otra solución y la extracción de la información esté totalmente justificada. Siempre que se extraiga información de los sistemas, equipos u oficinas de VODAFONE los datos deberán estar cifrados en los equipos del tercero, el Responsable del Tercero en VODAFONE (VF SPOC) deberá de aprobar la extracción y en el caso de ser información C3 o C4 el Responsable de la información deberán de aprobar la extracción de la información. Los equipos portátiles del tercero que vayan a tratar o mantener datos de VODAFONE deberán de tener los USB y grabadores de CD/DVD deshabilitados y el disco duro debe de estar cifrado por un software validado por VODAFONE. No se enviará información confidencial a través de Internet, u otra red pública, ya que por naturaleza no se consideran seguras.
Con carácter general, no está permitido el almacenamiento en los recursos corporativos ni el acceso o descarga desde recursos proporcionados por VODAFONE de cualquier tipo de contenido (vídeos, música, imágenes, documentos, etc.) sujetos a copyright, a la Ley de Propiedad Intelectual o a cualquier otro tipo de legislación o regulación en vigor aplicable al respecto. Cualquier contenido de estas características podrá ser eliminado automáticamente. En la terminación del contrato el tercero deberá de destruir todos aquellos documentos (papel o electrónicos) asociados al servicio ofrecido a VODAFONE. El tercero usará una herramienta limpiadora de datos para este propósito, en aquellos equipos que pudieran contener información de VODAFONE. 3. Identificación de usuario y contraseñas Los mecanismos de autenticación (identificadores de usuario y contraseñas, certificados digitales, etc.) son personales e intransferibles y, por tanto, no pueden ser compartidos. Cada persona es responsable de las acciones que se registren en los recursos tecnológicos con su código de usuario. Las acciones efectuadas en los sistemas e infraestructura de VODAFONE son registradas y pueden ser monitorizadas con el fin de identificar e investigar incidentes de seguridad. 4. Uso de la información fuera de los recursos corporativos Debe evitarse dentro de lo posible la utilización de papel, de soportes removibles o de ficheros con información que se ha extraído de los recursos tecnológicos. También debe prestarse especial atención en aquellos casos en los que se distribuya información sensible ya sea en soportes magnéticos, a través de valija o mediante los buzones personales de los empleados y de los colaboradores externos. En aquellos casos en los que la información se envíe o reciba, hacia o desde otras entidades o empresas mediante medios telemáticos, se acordará con dichas Empresas, junto con Seguridad ICT, medios seguros de distribución, según los estándares de conexión establecidos. 5. Almacenamiento de la información en el entorno microinformático En ningún caso los usuarios deben crear en unidades de red cualquier fichero o documento que contenga datos de carácter personal; está información sólo debe permanecer en las plataformas correspondientes sobre los que se han implantado las medidas de seguridad necesarias para garantizar la confidencialidad, integridad y disponibilidad de la información y el
cumplimiento de las medidas de seguridad establecidas en la legislación vigente en materia de datos de carácter personal correspondientes al nivel de seguridad de los ficheros. La información en entorno microinformático deberá almacenarse en aquellos recursos que garanticen su confidencialidad, integridad y disponibilidad en cada caso. 5.1 Unidades de almacenamiento externo La correcta utilización y custodia de la información será responsabilidad del usuario que haya realizado la extracción de la información de la plataforma que la albergaba originalmente. 5.2 Almacenamiento de información en dispositivos móviles Siempre que se utilicen dispositivos móviles en los cuales se puede almacenar información propiedad de VODAFONE deberán implantarse las medidas de seguridad, que permitan la protección de la información almacenada en los mismos, de todo tipo de robos, accesos no autorizados, de la revelación de la información contenida en los mismos o pérdida de los dispositivos ya sea de forma deliberada o accidental. 6. Uso de correo electrónico y acceso a Internet El correo electrónico y el acceso a Internet son herramientas de trabajo que puede proporcionar VODAFONE a sus colaboradores externos para realizar exclusivamente las tareas que involucra su trabajo. No es una herramienta personal, ni destinada al uso privado. 6.1 Medidas de seguridad para la utilización del correo electrónico El en caso de disponer de una cuenta de usuario de los dominios @vodafone.com, @corp.vodafone.es o cualquier otro dominio propiedad del Grupo VODAFONE, el usuario no se identifica de forma particular, sino como miembro de VODAFONE, por tanto ningún usuario debe participar en foros a titulo particular ya que se involucraría el nombre de VODAFONE. El uso de sistemas de correo electrónico públicos para comunicaciones de asuntos relacionados con las funciones desarrolladas por el usuario en su puesto de trabajo está prohibido. El acceso de todos los usuarios al sistema de correo corporativo se realizará mediante una cuenta de usuario personal y se almacenará toda la información que sea necesaria respecto al uso de correo, para en caso de ser necesario, analizarla y poder detectar si se está realizando un inadecuado uso del correo en caso de incidencias.
Como norma general, el correo electrónico no debe utilizarse para el envío de información confidencial o secreta por Internet. 6.2 Medidas de seguridad para la utilización de Internet En el caso de Internet para garantizar un correcto uso deben tenerse en cuenta lo siguiente: •
Todos los accesos a Internet desde la infraestructura de VODAFONE se realizarán mediante los mecanismos proporcionados por VODAFONE y validados por Seguridad ICT, autenticando al usuario, mediante cuenta de usuario personalizada.
•
Bajo ningún concepto, ningún usuario evitará los controles de seguridad que regulan el acceso a Internet desde la infraestructura de VODAFONE.
•
No está permitido descargar programas o software de Internet a la infraestructura de VODAFONE, ni siquiera de consideración pública ya que éste podría contener virus o cualquier tipo de código malicioso.
•
El acceso a Internet corporativo está monitorizado y todos los accesos son registrados. Se almacenará la información necesaria para su análisis y posibilidad de detección de un uso inadecuado.
7. Antivirus y protección frente a programas maliciosos Con el objetivo de prevenir y detectar la introducción de software malicioso deben aplicarse todo recurso tecnológico instalado o conectado a VODAFONE susceptible de ser infectado por cualquier virus o código malicioso en general (puestos cliente, portátiles, servidores, etc.) debe tener instalado y activo un programa antivirus con funcionalidad antispam y antispyware. 8. Conexiones a la red de datos 8.1 Conexiones de equipos a la red de datos Todos los puestos, de sobremesa y portátiles, así como el hardware asociado a éstos, que se conecten directamente a la red corporativa serán proporcionados, o deberán ser homologados, por VODAFONE. 8.2 Acceso desde la red de datos de VODAFONE. Estos accesos deben realizarse a través de los servicios de conexión corporativos operativos en cada momento, aprobados por Seguridad ICT. 8.3 Acceso a la red de datos de VODAFONE.
Todas las conexiones desde redes externas a la red de VODAFONE serán validadas por Seguridad ICT a través de los procedimientos establecidos a tal fin. No se utilizarán equipos de conexión a la red de VODAFONE distintos a los validados por Seguridad ICT. La configuración de los equipos utilizados para conectarse a la red de VODAFONE deberá incorporar como mínimo un antivirus, antispam, antispyware y estar al día de todos los parches de seguridad. 9. Legislación en materia de datos de carácter personal Existe una normativa legal específica (LOPD y reglamentos e instrucciones asociadas) sobre la protección de datos de carácter personal que es de obligado conocimiento y cumplimiento por todos los colaboradores externos de la Compañía. 10. Comunicación de Incidencias Todo usuario que tenga conocimiento directa o indirectamente de cualquier incidencia real o posible que se pudiera derivar por incumplimiento de lo aquí descrito, deberá comunicar inmediatamente tal incidencia, y las acciones que se hubiesen tomado de urgencia, a su inmediato responsable de VODAFONE o al equipo de Seguridad ICT.
