Normativa d’ús de dispositius mòbils
La Política de seguretat de la informació de la Universitat preveu un desplegament normatiu per implementar les mesures de seguretat necessàries per assegurar la disponibilitat, l’autenticitat, la integritat, la traçabilitat i la confidencialitat dels sistemes d’informació.
Atès que cada vegada és més freqüent l’ús de dispositius mòbils, siguin o no propietat de la Universitat, per accedir als sistemes d’informació que ofereix la Universitat, es considera necessari regular aquest ús per implementar mesures de seguretat també en aquest àmbit.
Per aquest motiu, el Consell de Govern acorda aprovar la Normativa d’ús de dispositius mòbils, que consta com a annex i es deroguen les Normes d'ús del servei d'accés a la xarxa sense fils de la UPF aprovada per Acord del Consell de Govern de 3 d'octubre del 2007.
ANNEX
NORMATIVA D’ÚS DE DISPOSITIUS MÒBILS
La Política de seguretat de la informació de la Universitat preveu un desplegament normatiu per implementar les mesures de seguretat necessàries per assegurar la disponibilitat, l’autenticitat, la integritat, la traçabilitat i la confidencialitat dels sistemes d’informació.
Aquesta normativa desplega la Política de seguretat de la informació de la Universitat pel que fa a l’accés a aquests sistemes d’informació que ofereix la Universitat a través de l’ús de dispositius mòbils, siguin o no propietat de la Universitat.
Article 1: Definicions
● Dispositiu mòbil: Qualsevol element electrònic no fix amb capacitat de registrar, emmagatzemar i/o transmetre dades, veu, vídeo o imatges, incloent-hi els telèfons mòbils (especialment els telèfons intel·ligents), tauletes i estacions de treball (portàtils).
● BYOD: Dispositius mòbils propietat dels usuaris comunament coneguts com BYOD (Bring Your Own Device). És un concepte que permet als empleats d'una organització utilitzar la tecnologia de la qual són propietaris per desenvolupar les seves funcions professionals dins de l'organització.
● Dades personals: Tota informació sobre una persona física identificada o identificable. Es considera persona física identificable tota persona de la qual es pugui determinar la identitat, directament o indirectament, en particular mitjançant un identificador, un nom, un número d'identificació, dades de localització, un identificador en línia o un o diversos elements propis de la identitat física, fisiològica, genètica, psíquica, econòmica, cultural o social d'aquesta persona.
● Tractament de dades personals: Qualsevol operació o conjunt d'operacions realitzades sobre dades personals o conjunts de dades personals.
Article 2: : Responsabilitats
El Servei d’Informàtica és la unitat competent per dirigir i supervisar l’adequat ús dels dispositius mòbils en el marc d’aquesta norma.
Els usuaris de dispositius mòbils propietat de la Universitat, en el moment que els hi siguin lliurats, han de subscriure el formulari de compromís de compliment de la normativa d’ús de dispositius mòbils propietat de la Universitat que figura en l’Annex. Mentre duri l’exercici de les seves funcions han de tenir accés permanentment a la present normativa.
Article 3: Ús dels dispositius mòbils
Aquells usuaris que desenvolupin activitats professionals amb dispositius propietat de la Universitat o amb dispositius personals (BYOD) han de complir les instruccions següents:
a) Els usuaris han de guardar tots els fitxers de treball a l'espai de la xarxa informàtica habilitada per la Universitat a fi de facilitar la realització de les còpies de seguretat i protegir l'accés enfront de persones no autoritzades. En cas d’emmagatzemar dades propietat de la Universitat en el dispositiu, la seva pèrdua serà responsabilitat de l’usuari.
b) En cas de necessitat, es pot emmagatzemar en el dispositiu mòbil aquella informació estrictament indispensable per al desenvolupament de les funcions professionals, procedint a esborrar-la quan ja no sigui necessari el seu tractament.
c) La sortida de dispositius mòbils que continguin informació confidencial de la Universitat fora dels espais de la Universitat ha de ser expressament autoritzada.
d) S’ha de tenir cura del dispositiu mòbil per evitar la posada en compromís, pèrdua o robatori, sobretot durant els viatges o fora de les dependències de la Universitat.
e) No està permès connectar dispositius mòbils que no estiguin autoritzats a la xarxa interna de la Universitat. En el cas que usuaris externs necessitin accedir als recursos interns, s’han de posar en contacte amb el Servei d’Informàtica de la UPF.
f) El dispositiu mòbil ha de disposar de contrasenya d’accés. Cal que aquesta contrasenya compleixi la normativa de la Universitat
g) Quan es consideri que l’identificador d’accés s’ha vist compromès, s’ha de comunicar al responsable corresponent d’acord amb la procediment de gestió d’incidents de seguretat de la informació.
h) Es prohibeix l’ús de programes de compartició de continguts (incloent els utilitzats per a la descàrrega d’arxius de música i vídeo) que no compleixin la legalitat vigent.
i) Fora de les instal·lacions de la Universitat està prohibida la connexió a xarxes Wi-Fi obertes i ocultes i es considera preferible establir connexions de dades a través de dispositius 4G d’ús personal.
j) Es recomana desconnectar les interfícies Wi-Fi i Bluetooth quan no s’estiguin utilitzant.
Article 4: Concrecions pels dispositius mòbils propietat de la Universitat
L’ús de telèfons mòbils, portàtils i tauletes propietat de la Universitat s’ha de subjectar a les instruccions següents:
a) Els dispositius propietat de la Universitat es lliuren com a eines professionals de productivitat. La Universitat es reserva el dret de retirar els dispositius per manca d’ús o per ús indegut.
b) Els dispositius mòbils han de disposar d’una etiqueta d’identificació, la qual no es pot retirar sota cap concepte.
c) No està permès alterar la configuració física, configuració de seguretat ni el programari dels dispositius.
En cas de detectar-se que en el dispositiu mòbil s’han desbloquejat les limitacions imposades pel Servei d’Informàtica pel que fa a la gestió de sistema operatiu i s’ha activat la instal·lació de programari no autoritzat, es procedirà de la manera següent:
a. S’informarà el responsable de la seguretat TIC de la UPF.
b. S’informarà al superior jeràrquic responsable del treballador.
c. En cas que aquesta alteració o instal·lació hagi causat algun problema, recaurà la responsabilitat sobre el treballador que tenia assignat el dispositiu.
d) No està permesa la instal·lació d’aplicacions de programari no autoritzat als dispositius.
e) Els usuaris que necessitin utilitzar aplicacions que no estiguin instal·lades per defecte ho han de demanar al seu superior jeràrquic a través de l’obertura d’un tiquet a l’eina de gestió d’incidències (CAU) amb la informació següent:
a. Programa sol·licitat.
b. Motiu pel qual se sol·licita.
Posteriorment, el Servei d’Informàtica ha de validar l’aplicació pel que fa a seguretat i, en cas de ser autoritzada i homologada, ha de procedir a la instal·lació.
f) Mantenir activada la connexió de dades mòbils per permetre la localització del dispositiu a través del servei “Buscar dispositiu”.
g) Mantenir desactivat el servei de compartició de fitxers i, en cas de haver d’utilitzar-lo, configurar-lo solament pels contactes.
h) Si el dispositiu mòbil s’extravia o és sostret, l’usuari ha d’avisar immediatament al Servei d’informàtica que ha de procedir a bloquejar-lo i esborrar-lo en remot.
i) En cas que es detecti que s’ha excedit el màxim nombre d’intents fallits d’accés, l’usuari ha de quedar bloquejat de forma automàtica. En cas de bloqueig, s’ha de contactar amb el Servei d’Informàtica.
Article 5: Pla de tarifes per a telèfons mòbils i tauletes propietat de la Universitat
El pla de tarifes que la Universitat té subscrit per a telèfons mòbils i tauletes de la seva propietat inclou:
● Totes les línies de la Universitat (a excepció dels considerats freesets), segons la categoria, disposen de tarifa plana de dades i de veu en la Zona Unió Europea amb un límit mensual de consum. En el cas de superar el límit mensual de consum de dades, la velocitat de la connexió de dades disminuirà, sense que es generi un cost addicional. S'aconsella la utilització de connexions Wi-Fi segures per reduir el consum.
● En cas de sortides a l'estranger, els usuaris han de sol·licitar l'activació de bons internacionals en un termini de deu dies d'antelació informant de la durada i del destí del viatge.
En relació al pla de tarifes s’apliquen les regles següents:
a) L’usuari ha d’utilitzar el dispositiu dins dels paràmetres del pla de tarifes. Si les seves necessitats professionals són significativament diferents del que assenyala el pla de tarifes, prèvia autorització del seu cap immediat i/o del responsable del centre de cost associat, s’ha de posar en contacte amb el Servei d’Informàtica per tal d’examinar les opcions disponibles.
b) Els serveis internacionals en itinerància poden estar disponibles de forma temporal només per a viatges professionals.
b.1. L’usuari ha de demanar autorització al seu superior.
b.2. L’usuari ha de contactar amb el Servei d’Informàtica, amb quinze dies d’antelació al viatge, per concretar les característiques de la itinerància, si fos necessari. De no fer-ho així, la itinerància internacional podria comportar costos addicionals dels quals la Universitat no es faria responsable.
b.3.El Servei d’Informàtica ha de contractar els bons necessaris per a la itinerància associada al viatge de l’usuari en base a la informació proporcionada. Quan l’usuari rebi el SMS d’exhauriment del bo ha de contactar amb el Servei d’Informàtica si preveu que en necessita una ampliació.
c) Quan els costos d’ús del dispositiu es trobin fora dels límits establerts prèviament per la Universitat (incloent els costos de les trucades personals en itinerància), i aquests costos no s’hagin justificat i aprovat prèviament, hauran de ser assumits per l’usuari.
d) La Universitat ha d’informar a l’usuari, mitjançant SMS, quan el consum arribi al 80% i al 100% del límit establert. Si l’usuari necessita incrementar el consum previst, ha de contactar amb el Servei d’Informàtica.
e) L’usuari pot d’adquirir, a càrrec seu, accessoris que no li siguin subministrats per la Universitat, sempre que no estiguin prohibits i permetin l’ús dels dispositius mòbils conforme a les normatives de la Universitat.
Annex. Formulari de compromís de compliment de la normativa d’ús de dispositius mòbils propietat de la Universitat
[Nom usuari]………………………………………………………………………………………… , amb identificador UPF………………………… telèfon ……………………… i adreça de correu electrònic …………………………………………………
MANIFESTO QUE:
Conec la Normativa del sistema de gestió de seguretat de la informació de la Universitat Pompeu Fabra aprovada per Acord de Consell de Govern de data ............ i em comprometo a complir-la, en especial, en allò referit a l’ús de dispositiu mòbils.
Signatura
Barcelona,,................. de ………………………….. de 20…