Acord de Consell de Govern de 18 de febrer de 2026

Article 1. Àmbit d’aplicació

1.1. Aquesta normativa, que és d’aplicació a tot l’àmbit d’actuació de la UPF, es deriva de la Política de Seguretat de la Informació aprovada per acord del Consell de Govern en data 26 d’abril del 2023 i és d’obligat compliment per a tots els usuaris que, de manera permanent o eventual, tinguin accés als sistemes d’informació de la Universitat Pompeu Fabra.

1.2. En l’àmbit d’aquesta política, s’entén per usuari qualsevol empleat de la UPF, així com el personal d’organitzacions públiques o privades externes, entitats col·laboradores o qualsevol altre amb algun tipus de vinculació amb la Universitat Pompeu Fabra i que n’utilitzi els sistemes d’informació o hi tingui accés.

Article 2. Definicions

Als efectes de l’aplicació d’aquesta normativa, s’estableixen les definicions següents:

a) Sistema d’informació: és un conjunt de dades, de persones, de processos i de recursos tecnològics que interactuen entre ells per assolir un objectiu que doni resposta a les necessitats de la institució.

b) Disponibilitat: és la necessitat de poder disposar, durant més o menys temps, del servei en funcionament en cas de pèrdua d’operativitat d’aquest. S’estableixen en aquest sentit uns temps màxims suportats sense que aquesta pèrdua afecti els serveis oferts.

c) Integritat: expressa els requisits d’exactitud de la informació tal com va ser generada, sense que hagi estat manipulada o alterada per persones o processos no autoritzats.

d) Confidencialitat: expressa la necessitat de mantenir una informació privada, en major o menor mesura, i de limitar-ne l’accés només a personal específicament autoritzat.

e) Autenticitat: expressa els requisits que s’estableixen per comprovar que la font de les dades rebudes és fiable.

f) Traçabilitat: és la qualitat que permet rastrejar a posteriori qui ha accedit a una informació determinada o l’ha modificat.

g) Correu brossa o spam: es defineix com l’enviament de correus electrònics no sol·licitats, de manera massiva, a adreces de correu electrònic; és un dels problemes de seguretat més habituals als quals s’enfronten les organitzacions. Aquests missatges no sol·licitats poden contenir codis danyosos que, en cas que penetrin en els sistemes d’informació, podrien arribar a colonitzar una institució i propagar-se a través de les seves xarxes de comunicacions.

h) Autorització expressa: es refereix a l’autorització formal del responsable funcional de l’usuari quan demana que se li habiliti una capacitat informàtica, la qual serà executada pel Servei d’Informàtica conformement a aquesta normativa.

Article 3. Utilització dels sistemes d’informació

3.1. La UPF ha de facilitar als usuaris que hi estiguin expressament autoritzats els equips informàtics, els dispositius i l’accés als sistemes d’informació necessaris per al desenvolupament de la seva activitat.

3.2. Les dades, els dispositius, els programes i els serveis informàtics que la UPF posa a disposició dels usuaris s’han d’utilitzar únicament per al desenvolupament de les funcions que aquests tinguin encomanades.

Article 4. Responsabilitat dels usuaris per la utilització dels sistemes d’informació

4.1. És responsabilitat directa de l’usuari fer un ús correcte dels sistemes d’informació als quals tingui accés. En aquest sentit, cal evitar:

  • Utilitzar els sistemes d’informació per a finalitats alienes als de la UPF.
  • Fer un ús intensiu dels recursos de procés, de memòria, d’emmagatzematge o de comunicacions, per a usos no professionals o diferents dels definits.
  • Degradar els serveis.
  • Destruir o modificar la informació sense autorització de manera premeditada.
  • Violar la intimitat, el secret de les comunicacions i el dret a la protecció de les dades personals.
  • Deteriorar de manera intencionada el treball d’altres persones.
  • Danyar intencionadament els recursos informàtics de la UPF o d’altres institucions.         
  • Incórrer en qualsevol altra activitat il·lícita, del tipus que sigui.
  • Alterar l’espai radioelèctric de la UPF (WiFi, Bluetooth o infrarojos, etc.).
  • Instal·lar o utilitzar programes o continguts que vulnerin la legislació vigent.

4.2. Les dades gestionades i tractades per qualsevol sistema d’informació de la UPF han de tenir assignat un responsable o responsables, que seran els encarregats de concedir, alterar o anul·lar l’autorització d’accés a aquestes dades per part dels usuaris.

4.3. Els usuaris dels recursos informàtics o dels sistemes d’informació de la UPF han de conèixer les normatives de seguretat aprovades i tenir-hi accés permanentment durant el temps de compliment de les seves funcions,

4.4. Si un usuari necessita, per necessitats de les seves competències professionals, fer servir un sistema d’informació o un equipament diferent del proporcionat, s’ha de posar en contacte amb el seu superior jeràrquic perquè aquest canalitzi la seva petició.

4.5. El cessament de la vinculació laboral amb la UPF de qualsevol usuari implica que aquest ha de retornar de manera immediata al Servei d’Informàtica tots els recursos informàtics que li haguessin estat assignats mitjançant autorització expressa, i el compromís de no accedir als diferents sistemes de la UPF mentre les seves credencials no hagin estat donades de baixa. Si és el cas, l’equip quedarà a disposició del servei corresponent perquè sigui reassignat a una altra persona.

4.6. Els usuaris han de participar en la cura i el manteniment dels dispositius que tinguin assignats.

4.7. Els usuaris han de notificar, com més aviat millor, qualsevol comportament anòmal dels seus dispositius, especialment quan se sospiti que s’hi ha produït algun incident de seguretat. Per notificar l’incident cal posar-se en contacte amb el Servei d’Informàtica, pels canals establerts.

4.8. Els usuaris són responsables de tota la informació extreta o a la qual s’hagi accedit des de fora de l’organització, tant en el cas dels dispositius autoritzats per la Normativa de Treball en Remot com dels dispositius extraïbles i dels mòbils autoritzats.

4.9. Els usuaris han de facilitar al personal del Servei d’Informàtica l’accés als seus equips per a tasques de reparació, d’instal·lació o de manteniment. Aquest accés, sempre autoritzat per l’usuari, es limitarà únicament a les accions necessàries per al manteniment o la resolució dels problemes que puguin sorgir en la utilització dels recursos informàtics i de comunicacions, i finalitzarà l’accés un cop resolts.                 

4.10. És responsabilitat dels usuaris garantir que els dispositius no proveïts per la UPF que aquests utilitzin per accedir als sistemes d’informació de la Universitat compleixin en tot moment els requisits de seguretat establerts, incloent-hi l’actualització del sistema operatiu, l’ús de mecanismes d’autenticació robusta, el xifratge de la informació i la separació lògica de les dades professionals respecte de les personals.

Article 5. Responsabilitat del Servei d’Informàtica

5.1. El Servei d’Informàtica defineix els criteris d’utilització de qualsevol aplicació o servei dels Sistemes d’Informació de la UPF en matèria de seguretat. En la definició d'aquests criteris, el Servei d'Informàtica prendrà en consideració que, pels procediments de primer nivell que se’n derivin, haurà d'observar allò que s’indica a la disposició final primera.

5.2. El Servei d’Informàtica de la UPF té com a responsabilitat mantenir els sistemes d’informació dins els cicles de vida oficials del programari i del maquinari que es fa servir.

5.3. El Servei d’Informàtica de la UPF té com a responsabilitat analitzar les vulnerabilitats dels sistemes d’informació de la UPF, avaluar-ne la superfície d’exposició de seguretat TIC i definir les mesures de correcció oportunes.

5.4. Si el personal del Servei d’Informàtica detecta qualsevol anomalia que indiqui una utilització dels recursos contrària a aquesta norma ho posarà en coneixement del responsable del Sistema i del responsable de seguretat, que prendran les mesures correctores que considerin oportunes.

5.5. El Servei d’Informàtica no es fa responsable del funcionament i ús dels dispositius no proveïts per la UPF, però estableix uns requisits mínims de seguretat per a la seva utilització a l’entorn laboral.       

5.6. El Servei d’Informàtica ha de proposar els recursos de seguretat (tallafocs, IDS, antivirus, CDN, WAF, etc.) necessaris de detecció, protecció i resposta davant d’amenaces contra els sistemes d’informació.

5.7. El Servei d’Informàtica és responsable d’aplicar les mesures de seguretat necessàries, d’acord amb la política de seguretat en la informació de la UPF.

Article 6. Normes específiques per a l’equipament informàtic

6.1. El Servei d’Informàtica realitzarà i actualitzarà permanentment un inventari dels equips informàtics de la Universitat. Aquest inventari ha de contenir almenys la informació següent: l’usuari al que s’ha assignat, el responsable funcional de l’assignació i la capacitat de connexió física a la xarxa.

6.2. L’equipament informàtic ha de seguir els criteris definits pel Servei d’Informàtica per assegurar-ne un funcionament correcte i garantir-ne la seguretat. Aquests criteris inclouen les definicions tant de la tecnologia de l’equipament com dels sistemes operatius i del programari. En la definició d'aquests criteris, el Servei d'Informàtica prendrà en consideració que, pels procediments de primer nivell que se’n derivin, haurà d'observar allò que s’indica a la disposició final primera.

6.3. Els dispositius lliurats s’han d’utilitzar únicament per a fins institucionals i com a eina de suport a les competències dels usuaris autoritzats.

6.4. Llevat d’aquells equips instal·lats a les zones comunes i de l’equipament de préstec, cada equip ha d’estar assignat a un usuari, que per poder fer-ne ús haurà de validar amb les seves credencials.

6.5. Tot l’equipament es lliura amb el programari necessari instal·lat, configurat i amb les llicències necessàries per al seu correcte funcionament.

6.6. Els dispositius de l’organització s’han de mantenir actualitzats, amb els pegats de seguretat aplicats i amb eversions dins el cicle de vida oficial de tots els programes i del sistema operatiu que tinguin instal·lats. Cal prestar una atenció especial a la correcta actualització, configuració i funcionament dels programes de protecció de la seguretat.

6.7. No està permès alterar cap dels components físics o lògics dels equips informàtics i dispositius, ni instal·lar-hi programes o connectors descarregats d’Internet, llevat d’autorització expressa. Aquestes operacions només pot realitzar-les el personal de suport tècnic autoritzat, o bé quan s’hi estigui expressament autoritzat.

6.8. Els usuaris tenen, per a cada equip informàtic que tinguin assignat, els privilegis mínims que els permetin desenvolupar les seves funcions, segons determini el responsable jeràrquic de l’equip informàtic en qüestió. Els usuaris no poden tenir privilegis d’administració sobre els equips, llevat que hi estiguin expressament autoritzats.

6.9. Els dispositius no proveïts per la UPF només poden connectar-se a Internet a través d’una xarxa protegida diferenciada, com ara la xarxa sense fils de què disposa actualment la Universitat.      

Article 7. Normes específiques per a l’emmagatzematge d’informació

7.1. La UPF posa a disposició dels usuaris sistemes corporatius d’emmagatzematge d’informació individual i compartida, que són d’ús exclusiu per al desenvolupament de la seva activitat.

7.2. Els usuaris han de fer un ús preferent de l’emmagatzematge compartit corporatiu.
7.3. Periòdicament es faran còpies de seguretat, tant completes com incrementals, dels sistemes d’informació de la UPF que es considerin necessaris per garantir la continuïtat de l’activitat de la UPF.

7.4. La informació emmagatzemada en les còpies de seguretat es podrà recuperar en cas que es produeixi algun incident.     

7.5. La informació emmagatzemada de manera local en els equips dels usuaris (en el disc dur local, per exemple) no serà objecte de salvaguarda mitjançant cap procediment corporatiu de còpia de seguretat. Els usuaris són responsables de fer-ne periòdicament còpies de seguretat, especialment de la informació important per al desenvolupament de la seva activitat.

7.6. En cap cas els serveis de la UPF no faran còpies de seguretat de la informació emmagatzemada de manera local en els dispositius particulars dels usuaris.

7.7. No s’ha d’utilitzar el correu electrònic com a espai d’emmagatzematge.

Article 8. Emmagatzematge d’informació sensible o de dades personals

8.1. En cas que el sistema d’informació contingui informació sensible, confidencial o protegida, aquesta ha de complir tots els requisits legals aplicables i les mesures de protecció adients.

8.2. El sistema d’informació només és accessible per a aquelles persones que, per la naturalesa de les seves funcions, necessitin accedir-hi.

8.3. La informació professional de la UPF –inclosa la de caràcter acadèmic, administratiu o de recerca, pròpia o de tercers–, així com la informació de caràcter personal pròpia o de tercers només pot ser emmagatzemada en recursos d’emmagatzematge que compleixin els requisits de seguretat establerts per la Universitat o pels protocols específics del projecte corresponent, en particular pel que fa al xifratge de la informació i a la protecció de l’accés.                                                                                     

Article 9. Normes específiques per a l’equipament tecnològic d’ús compartit

9.1. Amb caràcter general, de l’equipament tecnològic (impressores, fotocopiadores, escàners i altres equipaments) se n’ha de fer un ús compartit corporatiu.

9.2. Excepcionalment, podran instal·lar-se aquests equipaments per ús individual, per al lloc de treball d’un usuari concret, sempre que se’n justifiqui prèviament la necessitat i la seguretat i que tant el superior jeràrquic del sol·licitant com el Servei d’Informàtica ho autoritzin.

9.3. Els usuaris no poden fer ús, en el seu lloc de treball, d’impressores, fotocopiadores o escàners que no hagin estat proporcionats per la UPF.

Article 10. Normes específiques de seguretat relatives al correu electrònic de la UPF

10.1. El correu electrònic de la UPF es pot utilitzar exclusivament per als propòsits relacionats amb l’activitat exercida a la UPF.

10.2. Els missatges que continguin informació de caràcter personal, sensible, confidencial o protegida s’han de xifrar amb les eines proporcionades pel servei de correu electrònic.

10.3. La Universitat ha de crear llistes de distribució corporatives segons l’adscripció orgànica dels usuaris. Es poden crear llistes de distribució amb altres agrupacions per atendre necessitats específiques.

10.4. No s’han d’enviar o reenviar correus electrònics de manera massiva. Si s’envia per necessitat un correu electrònic a un conjunt de destinataris, s’ha d’utilitzar una llista de distribució: Si no se’n té, aleshores la llista d’adreces dels destinataris s’ha d’enviar en el camp de còpia oculta (CCO o BCC), per tal que els receptors del missatge no puguin veure-les.

10.5. No s’han d’enviar missatges en cadena. En cas que es rebi un missatge en cadena que alerti d’un virus, s’ha de notificar al Servei d’Informàtica.

10.6. S’ha d’intentar verificar la identitat del remitent abans d’obrir un missatge. En cas que es rebi un correu electrònic sospitós, cal, depenent de la seva versemblança: ignorar-lo, no obrir-lo i comunicar-ho al Servei d’Informàtica mitjançant l’eina d’atenció a l’usuari.

10.7. No s’ha d’enviar mai informació sensible, confidencial o protegida com a resposta a la petició formulada en un correu electrònic del qual no es pugui assegurar la identitat del remitent.

10.8. No s’han d’executar ni obrir arxius adjunts sospitosos. No s’han d’executar els arxius adjunts rebuts sense analitzar-los prèviament amb l’eina corporativa contra codi maliciós.

10.9. S’ha d’informar de correus electrònics amb virus, sense reenviar-los. Si un usuari detecta que un correu conté un virus o, en general, un codi maliciós, cal que notifiqui l’incident de seguretat al Servei d’Informàtica i que no el reenviï, per tal d’evitar-ne la possible propagació.

10.10. Per accedir remotament (via web) al correu electrònic, s’han de prendre les precaucions següents:

1) Els navegadors utilitzats per accedir al correu electrònic via web han d’estar permanentment actualitzats a la seva última versió, almenys quant a la seguretat, i correctament configurats.

2) Un cop finalitzada la sessió web, és obligatori desconnectar-se del servidor mitjançant un procés que elimini la possibilitat de reutilització de la sessió.

3) A l’hora de llegir missatges de correu via webmail cal desactivar la interpretació de continguts remots.

4) Cal desactivar les característiques de recordar contrasenyes per al navegador.

10.11. En cas de defunció d’un usuari, tan bon punt la Universitat en tingui coneixement fefaent en donarà de baixa el compte de correu electrònic. El contingut del compte s’emmagatzemarà durant vint-i-quatre mesos per poder atendre reclamacions o requeriments judicials.

Article 11. Normes específiques sobre el correu brossa

Per tal de poder fer front als riscos que implica el correu brossa, els usuaris han de seguir les normes que es detallen a continuació:

  1. S’ha d’evitar introduir l’adreça de correu electrònic de la UPF en fòrums de notícies o llistes de correu a través d’Internet  no relacionades amb la finalitat de l’activitat a la UPF o utilitzar-la per donar-se d’alta en aplicacions no corporatives.     
  2. No s’han d’obrir els correus electrònics brossa ni correus electrònics sospitosos.
  3. En cas de correu sospitós, s’ha de reportar com a correu brossa, immediatament  i sense obrir-lo, o bé desar-lo a la zona de quarantena. Si l’aplicació ho permet, cal accionar l’opció “Informa que és pesca de credencials”.
  4. No s’ha de respondre mai a un correu brossa.
  5. No s’ha d’accedir en cap cas als enllaços o annexos que els correus brossa puguin contenir.
  6. Cal reportar l’incident de seguretat al Servei d’Informàtica.

Article 12. Idioma

12.1 Els sistemes informàtics de la UPF han de seguir en tot moment les directrius de la Universitat en matèria de llengües, d’acord amb el que s’estableix a l’article 16 de la Regulació i foment de l’ús del català a la Universitat Pompeu Fabra o d’altres normes aplicables.     

Article 13. Exigència de responsabilitats i salvaguarda dels sistemes

13.1. La Universitat, d’acord amb la normativa aplicable, exigirà responsabilitats disciplinàries i, si escau, civils o penals, als membres de la comunitat universitària que incompleixin aquesta normativa i posin en risc els sistemes d’informació de la Universitat. El responsable del sistema i el responsable de seguretat tenen l’obligació de denunciar les vulneracions d’aquesta normativa i de proposar les mesures cautelars adients per protegir els sistemes d’informació.

13.2. En cas que s’imposi una sanció, se n’ha d’informar el Comitè de Seguretat TIC.

13.3. En cas de concurrència de circumstàncies greus, d’especial urgència o emergència, que requereixin adoptar mesures de manera immediata per salvaguardar els sistemes d’informació de la Universitat, el responsable del servei podrà suspendre l’accés als sistemes d’informació a usuaris de la comunitat universitària, incloent-hi el correu electrònic, sense perjudici de posar-ho immediatament en coneixement del rector per tal que decideixi en el termini més breu possible sobre el manteniment o l’aixecament de la mesura cautelar adoptada.

13.4. El responsable de seguretat podrà suspendre l’accés als sistemes d’informació a usuaris que no formin part de la comunitat universitària en cas d’incompliment d’aquesta normativa.      

 

Data de publicació: 23 de febrer de 2026