Acord de Consell de Govern de 26 d'abril del 2023

La Política de seguretat de la informació de la Universitat preveu un desplegament normatiu per implementar les mesures de seguretat necessàries per assegurar la disponibilitat, l’autenticitat, la integritat, la traçabilitat i la confidencialitat dels sistemes d’informació.

Atès que els centres de processament de dades són els espais on s’ubiquen aquests sistemes d’informació, resulta imprescindible regular els requeriments que han de complir aquests espais, així com també  els àmbits de responsabilitat dels gestors d’aquests espais.

Per aquest  motiu, el Consell de Govern acorda aprovar la Normativa de seguretat en els centres de processament de dades, que consta com a annex.

ANNEX

NORMATIVA DE SEGURETAT EN ELS CENTRES DE PROCESSAMENT DE DADES

La Política de seguretat de la informació de la Universitat preveu un desplegament normatiu per implementar les mesures de seguretat necessàries per assegurar la disponibilitat, l’autenticitat, la integritat, la traçabilitat i la confidencialitat dels sistemes d’informació.

Aquesta normativa desplega la Política de seguretat de la informació de la Universitat pel que fa a als requeriments que han de complir els centres de processament de dades atès que és on s’ubiquen aquests sistemes d’informació, així com també els àmbits de responsabilitat dels gestors d’aquests espais.

Article 1: Definicions

Recurs o actiu: Qualsevol element que tingui valor per a la Universitat(conjunt de dades estructurades, bases de dades, programari, sistemes, persones, aplicacions, documentació, instal·lacions de cablatge, i similars) i que suporta un determinat procés de negoci.

Servei: Cada una de las funcions lògiques completes prestades per un equip informàtic.

Usuari: Subjecte o procés autoritzat per accedir a dades o recursos dels sistemes d’informació de la Universitat.

Article 2: Responsabilitats

El responsable de seguretat TIC, el responsable del sistema, els administradors de la seguretat i els propis usuaris, en les seves respectives competències, són co-responsables de la implementació tècnica de les normes de seguretat en els centres de processament de dades i del seu compliment, incloent, en el seu cas, el personal de proveïdors externs, quan procedeixi i siguin usuaris dels sistemes d’informació de la Universitat.

Article 3: Emplaçament i protecció dels equips

Els sistemes d’informació i comunicacions han d’estar físicament protegits de possibles amenaces de l’entorn per evitar accessos no autoritzats o pèrdues o altres danys en els sistemes que puguin afectar la integritat, la confidencialitat o la disponibilitat de la informació.

La ubicació física dels equips ha de complir un conjunt de requeriments que permetin:

  • Garantir el seu bon funcionament.
  • Reduir la possibilitat que es generin incidents que puguin comprometre la seva seguretat.
  • Permetre únicament l’accés del personal degudament autoritzat.

Sempre que sigui possible, les àrees segures han de disposar d’algunes o totes les mesures addicionals de seguretat següents:

  • Sistema de control d’accés.
  • Sistemes automàtics de detecció i protecció contra danys per foc, aigua, temperatura, humitat, falles del subministrament elèctric o accessos no autoritzats.
  • Sostres i terres falsos.

Article 4: Instal·lacions de subministrament

Les instal·lacions de subministrament han de disposar d’algunes o totes les mesures addicionals de seguretat següents:

  • Els sistemes d’informació han d’estar protegits contra fallades dels subministraments ( aigua, electricitat, i similars).
  • Tots els equips de subministrament d’aigua, electricitat, aire condicionat, i similars han de ser regularment revisats i provats pel proveïdor de manteniment corresponent per assegurar-se que compleixen amb les necessitats de subministrament requerides, així com amb les especificacions del fabricant, i d’aquesta manera reduir el risc de fallades per mal funcionament.
  • Les especificacions dels equips han de complir amb la legalitat vigent i ser adequades a les necessitats d’altres equips als quals serveixin de suport.
  • Quan la unitat responsable d’aquests equips així ho consideri necessari, s’instal·laran sistemes d’alarma que detectin fallades de funcionament als equips de subministrament essencials.

Article 5: Seguretat del cablejat

La infraestructura del cablejat elèctric i de comunicacions ha d’estar protegida mitjançant mesures de seguretat com les següents:

  • S’utilitzaran falsos terres i sostres i les seves corresponents canaletes per dotar-se d’un cablejat estructurat dins de les instal·lacions.
  • Els cables i equips de telecomunicacions i d’alimentació han d’estar ben identificats, etiquetats i llistats per evitar errors en la seva  gestió o manipulació.
  • El cablejat de xarxa han d’estar protegit contra intercepció no autoritzada o contra danys (mitjançant l’ús de conductes, evitant que passi per àrees públiques o sistemes anàlegs).
  • Els cables d’energia han d’estar separats dels cables de comunicacions per evitar interferències.
  • S’han de preveure mecanismes de control d’accés a les sales on es gestionen els sistemes de cablejat de manera que l’accés estigui restringit al personal degudament autoritzat.

Article 6: Manteniment d’equips

  • El manteniment dels equips ha de realitzar-se seguint les mesures de seguretat que s’indiquen a continuació o amb altres que siguin anàlogues:
  • El manteniment dels equips s’ha de realitzar per part de personal degudament autoritzat i capacitat, seguint en tot cas les recomanacions del fabricant.
  • Dins l’inventari d’actius d’informació de la Universitat han d’estar relacionats els proveïdors de manteniment, el servei que presten i les persones de contacte.
  • S’ha de guardar registre documental de totes les accions correctives o preventives de manteniment dins dels equips, així com qualsevol fallada real o hipotètica.
  • S’han d’adoptar mesures adequades de protecció dels equips quan aquests surtin fora de les instal·lacions per al manteniment. En cas que l’equip contingui informació o dades personals, l’equip no podrà sortir de les instal·lacions, llevat que s’adoptin mesures especials per protegir la informació continguda.

Article 7: Seguretat dels equips fora de les dependències de la UPF

Quan els equips hagin de ser utilitzats de forma puntual, periòdica o permanent fora de les instal·lacions de la UPF, s’han de contemplar les mesures de seguretat següent:

  • La sortida d’equips fora de les dependències de la UPF ha d’estar degudament autoritzada pel responsable jeràrquic de l’usuari o del propietari de la informació, conforme al procediment que s’hagi definit.
  • Els equips portàtils fora de les dependències de la Universitat han d’estar controlats en tot moment. Durant els viatges s’han de facturats com a equipatge de mà.
  • En el cas que l’equip contingui informació confidencial, s’han d’establir mesures de seguretat basades en tècniques de xifrat que garanteixin la confidencialitat de la informació.
  • Els propietaris dels actius han d’observar les instruccions del fabricant en tot allò que fa referència a la protecció dels equips contra amenaces que puguin posar en risc els actius o la informació que continguin.
  • Els controls establerts en aquests sistemes s’han de basar en una avaluació prèvia dels riscos i consistiran en els que es relacionen a continuació o altres anàlegs:
    • Sistemes d’autenticació robusta als ordinadors.
    • Xifrat del disc dur.
    • Establiment de comunicacions segures amb la xarxa corporativa.
    • Bloqueig d’equip i de les sessions després d’un límit de temps.

Article 8: Reutilització o retirada segura de dispositius d’emmagatzematge

En la reutilització o retirada de dispositius d’emmagatzematge, s’han d’aplicar, com a mínim, les mesures de seguretat següents:

  • Els dispositius que continguin informació confidencial han de ser destruïts físicament o bé, s’han de sotmetre a un esborrat segur abans de ser eliminat o reutilitzat.
  • L’eliminació de suports amb informació ha d’estar autoritzada pel responsable del dispositiu o propietari de la informació.
  • En cas que empreses externes participin en les tasques d’eliminació o manteniment d’equips, s’han de comprometre contractualment:
    • A no consultar, no emmagatzemar i no distribuir la informació confidencial continguda en els equips que quedin sota la seva custòdia.
    • A emetre un certificat conforme han destruït el dispositiu, quan se’ls hagi requerit per aquest servei.