Normativa de gestió d'actius i suports d'informació
La Política de Seguretat de la Informació de la Universitat Pompeu Fabra (UPF, en endavant) preveu un desplegament normatiu per implementar les mesures de seguretat necessàries per assegurar la disponibilitat, l’autenticitat, la integritat, la traçabilitat i la confidencialitat dels sistemes d’informació.
Atès que els usuaris poden treballar amb diferents actius i suports d’emmagatzematge que contenen informació de la Universitat, es considera necessari regular aquest ús per implementar mesures de seguretat també en aquest àmbit. Es pretén així evitar danys, robatoris i accés no autoritzat als diferents suports i altres actius que està previst que continguin, contenen o han contingut fitxers protegits.
Per aquests motius, el Consell de Govern acorda aprovar la normativa de gestió d’actius i suports d’informació.
NORMATIVA DE GESTIÓ D’ACTIUS I SUPORTS D’INFORMACIÓ.
Article 1. Àmbit d’aplicació
1. Aquesta normativa és d'aplicació a tot l'àmbit d'actuació de la UPF, es deriva de la Política de Seguretat de la Informació aprovada per acord del Consell de Govern en data 26 d'abril de 2023 i és d'obligat compliment per a tot els usuaris que, de manera permanent o eventual, tinguin accés als sistemes d’informació de la Universitat Pompeu Fabra.
2. En l'àmbit de la present política, s'entén per usuari qualsevol empleat de la UPF, així com el personal d'organitzacions públiques o privades externes, entitats col·laboradores o qualsevol altre amb algun tipus de vinculació amb la Universitat Pompeu Fabra i que utilitzi o posseeixi accés als seus Sistemes d'Informació.
Article 2. Definicions
1. Als efectes d’aquesta norma es considera suport tots aquells mitjans de gravació i recuperació de dades que s'utilitzen per a realitzar còpies o passos intermedis en els processos de l'aplicació que gestiona el fitxer, com els sistemes de cintes per a còpies de seguretat o dispositius USB.
2. Als efectes d’aquesta norma es considera actiu qualsevol bé que té valor per a l'organització, entre d’altres, l’equipament informàtic o audiovisual.
Article 3. Autorització d’actius i suports d’informació
1. Únicament podran utilitzar per emmagatzemar fitxers aquells suports que hagin estat aprovats, revisats i validats pel Responsable de Seguretat de la Informació i l’Administrador de Seguretat del Sistema.
2. L’Administrador de Seguretat del Sistema, abans que un suport pugui ser utilitzat, el donarà d'alta en l'inventari d'actius i suports i l’etiquetarà.
3. Si l’actiu o suport havia estat sol·licitat per un membre de la comunitat universitària, requerirà autorització per part del seu superior jeràrquic a la UPF.
L’usuari es responsabilitzarà d’utilitzar-lo correctament i d’acord amb el Codi Ètic de la universitat, de la seva conservació i de que no es vulnerin amb ells les mesures de seguretat establertes, fins al moment de la seva destrucció o fins a la cessió a l’administrador de seguretat del sistema.
Article 4. Entrades d’actius i suports d’informació
1. En el moment de l'entrada de l'actiu o suport d’informació, abans de la seva utilització en els Sistemes d'Informació de la UPF, es notificarà a l’Administrador de Seguretat del Sistema la seva l'entrada.
2. El Responsable de Seguretat o l’Administrador de Seguretat del Sistema poden sol·licitar que se’ls hi lliuri prèviament a la seva utilització per validar el seu contingut i verificar que no posarà en perill la seguretat del Sistemes d'Informació de la UPF.
3. Tots els suports i altres actius que s'adquireixin s'identificaran correctament i es donaran d'alta en l'inventari d'actius i suports per part de l’Administrador de Seguretat del Sistema i l’usuari responsable requerirà de completar el document “Model de declaració de gestió d’actius i suports d’informació” recollit a l’apèndix d’aquesta norma.
4. Tots els suports llistats en l'inventari d'actius han de disposar d'una etiqueta d’identificació.
Article 5. Sortida d’actius i suports d’informació
1. Totes les sortides d'actius i suports d’informació de les instal·lacions de la UPF han d'haver estat prèviament autoritzades pel Responsable de Seguretat o del Responsable del Sistema d'Informació mitjançant la firma del document “Model de declaració de gestió d’actius i suports d’informació” recollit a l’apèndix d’aquesta norma.
2. Si la sortida no disposa d'una autorització prèvia per part del Responsable de Seguretat o del Responsable del Sistema, s'haurà d'esperar a disposar de l'autorització. Si no es dona aquesta autorització, l'actiu o suport no podrà sortir sota cap concepte.
Article 6. Conservació i emmagatzematge
Els actius i suports d’informació no han de ser emmagatzemats en llocs on puguin tenir accés personal no autoritzat, protegint així els fitxers que s’hi contenen.
Article 7. Reutilització i destrucció
1. L’Administrador de Seguretat del Sistema destruirà definitivament l'actiu o suport d’informació, evitant que pugui tornar a ser utilitzat, o bé el prepararà per a la seva reutilització.
2. Abans de ser destruït o reutilitzat l'actiu o suport d’informació ha de ser formatejat de manera que s'elimini tota la informació que s’hi conté sense donar la possibilitat que un usuari no autoritzat pugui recuperar-la posteriorment.
3. Si no s’ha de tornar a utilitzar l’actiu o suport d’informació en qüestió, aquest haurà de ser lliurat a l’Administrador de Seguretat del Sistema.
4. L’Administrador de Seguretat del Sistema, una vegada destruït, donarà l’actiu o suport d’informació de baixa de l’inventari.
Disposició addicional única
1. Tots els serveis de préstec temporal d’actius i suports a disposició del personal UPF es regiran en primera instància per aquesta normativa.
2. Els serveis de préstec temporal definiran clarament el col·lectiu al qual van adreçats i el temps de préstec.
3. S'establiran penalitats que poden arribar a la suspensió del servei de préstec als usuaris que retornin l'equipament amb retard.
4. S'establiran penalitats relacionades amb l'assumpció del cost de l’equipament o de la reparació en el cas que no es retorni l’equipament o per avaries i desperfectes en l'equipament motivades per un mal ús.
5. En cas d’existir altres reglaments de préstec temporals d’actius i suports d’informació, han d’especificar clarament els requisits quant a: condicions d’ús, penalitzacions i règim disciplinari.
Apèndix.
MODEL DE DECLARACIÓ DE GESTIÓ D’ACTIUS I SUPORTS D’INFORMACIÓ
En__________________________, a _________________de_______________________.
En/Na.___________________________________________________________________, amb DNI ____________________________, i uNIS __________________
DECLARA
Que en el dia d'avui se li ha fet entrega de fins a data de _________
Tipus de Suport:
Marca:
Model:
Nº UPF:
Per a la seva utilització tant dins com fora de les dependències de l’UPF, i que això comporta el compliment de la Política de Seguretat de la Informació, la Normativa de Treball en Remot i del Codi Ètic de la Universitat Pompeu Fabra. La persona declara conèixer les seves funcions i obligacions de caràcter personal.
Durant la utilització del dispositiu l'empleat/ada ha de complir els principis relatius al tractament de dades personals establertes en el Reglament (UE) 2016/679 general de Protecció de Dades, aquests són:
a) Licitud, lleialtat i transparència.
b) Limitació de la finalitat. Les dades únicament seran tractades per a la finalitat per a la qual van ser recaptades.
c) Minimització de dades. Adequats, pertinents i limitats al necessari en relació amb els fins per als quals són tractats.
d) Exactitud. Les dades seran exactes i, si fos necessari, actualitzades.
e) Limitació del termini de conservació. Les dades seran mantingudes de manera que es permeti la identificació dels interessats durant no més temps del necessari per a les finalitats del tractament.
f) Integritat i confidencialitat. Garantir la seguretat adequada de les dades, inclosa la protecció contra el tractament no autoritzat o il·lícit i contra la seva pèrdua, destrucció o dany accidental, mitjançant l'aplicació de mesures tècniques o organitzatives apropiades.
Així mateix, observarà i adoptarà les mesures tècniques i organitzatives implantades per la UPF amb l'objecte de garantir la confidencialitat, integritat, disponibilitat i resiliència permanents dels sistemes i serveis de tractament.
Que entén que l' equip portàtil o dispositiu electrònic que retira és propietat de la UPF, i que tant el seu ús com els processos i aplicacions que s'utilitzin han de ser exclusivament en interès d’aquesta i no per a ús personal.
Així mateix, es compromet a complir amb la Normativa de gestió d’actius i suports d’informació de la UPF.
Signat:
La Universitat Pompeu Fabra tractarà les seves dades personals, com a responsable, d’acord amb el Reglament (UE) 2016/679, el Reglament General de Protecció de Dades, la Llei orgànica 3/2018, de 5 de desembre del 2018, de protecció de dades personals i garantia dels drets digitals, i d’acord amb la resta de normativa vigent en la matèria.
El tractament es farà únicament amb la finalitat de gestionar el compliment de la Normativa de gestió d’actius i suports d’informació de la Universitat Pompeu Fabra i la salvaguarda de la seguretat dels sistemes d’informació de la Universitat Pompeu Fabra.
La base jurídica del tractament és l’interès públic en la salvaguarda de la seguretat dels sistemes d’informació de la Universitat Pompeu Fabra.
Les vostres dades es conservaran mentre es mantingui aquesta necessitat, puguin derivar-se’n responsabilitats legals i així ho determini la normativa d’arxius.
Les dades només seran tractades per la Universitat Pompeu Fabra i no se cediran a tercers, excepte que hi concorri obligació legal. Del tractament de les vostres dades no es derivaran decisions automatitzades.
Podeu exercir els drets d’accés, rectificació, supressió, portabilitat, limitació o oposició al tractament mitjançant un escrit adreçat al gerent de la Universitat ([email protected]). Podreu contactar amb el delegat o delegada de protecció de dades de la Universitat Pompeu Fabra a través de l’adreça [email protected] per a qualsevol consulta en relació amb les dades, o en cas que es consideri que els seus drets no han estat atesos correctament. El delegat o delegada de protecció de dades comunicarà a la persona afectada la seva decisió en un termini màxim de dos mesos, a comptar des de la recepció de la reclamació. En cas que no hi estigui d’acord, podrà presentar una reclamació davant de l’Autoritat Catalana de Protecció de Dades (apdcat.gencat.cat).