1. RECOLECCIÓN DE DATOS PERSONALES
El propósito de esta política de seguridad es garantizar un nivel adecuado de protección para los datos personales de los sujetos de los datos, aplicando correctamente la legislación nacional en materia de protección de datos y confidencialidad de la comunicación.
2. PRINCIPIOS DE PROCESAMIENTO DE DATOS PERSONALES
Legalidad:
El procesamiento de datos personales se lleva a cabo de buena fe y de acuerdo con las disposiciones legales;
Limitación de propósito:
Cualquier procesamiento de datos personales se lleva a cabo para fines bien definidos, explícitos y legítimos, adecuados, relevantes y no excesivos en relación con el propósito para el cual fueron recolectados y posteriormente procesados;
Información:
Con este aviso, se informa a los individuos que sus datos personales serán procesados;
Almacenamiento:
Los datos personales no se almacenarán durante un período superior al necesario para lograr los fines para los cuales fueron recolectados;
Protección de los sujetos de los datos:
Los datos personales serán procesados por el personal autorizado dentro de la empresa “Online Broker de Asigurare” SRL o por otras personas autorizadas conforme a la ley.
Seguridad:
Se establecen medidas de seguridad técnicas y organizativas para los datos personales con el fin de protegerlos contra la destrucción, pérdida, alteración, divulgación o acceso no autorizado de manera accidental o ilícita (el acceso a las bases de datos de usuarios se realiza mediante nombre de usuario y contraseña, regulado a través de roles y derechos de acceso). La posibilidad de alterar los datos accedidos está protegida mediante un cortafuegos monitoreado por “Online Broker de Asigurare” S.R.L., así como mediante soluciones antivirus actualizadas permanentemente. Las transferencias entre clientes de servidor y administradores u operadores se cifran utilizando un certificado digital, de modo que los datos no puedan ser interceptados.
3. POLÍTICA DE PROCESAMIENTO DE DATOS PERSONALES
De acuerdo con las disposiciones de la LEY No. 133 del 08.07.2011 respecto a la protección de datos personales, “Sykors Media” está obligada a gestionar, en condiciones de seguridad y únicamente para los fines expuestos a continuación, los datos personales proporcionados.
“Sykors Media” se compromete a mantener la confidencialidad de los datos personales proporcionados a través del sitio web sykors.com, conforme a las disposiciones de la LEY No. 133 del 08.07.2011, con sus posteriores enmiendas, respecto a la protección de datos personales.
4. REQUISITOS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS PERSONALES
Las siguientes categorías de operaciones de procesamiento de datos personales presentan riesgos especiales para los derechos y libertades de los individuos:
1) adaptación, modificación, divulgación mediante transmisión, difusión o de cualquier otra manera, de datos personales relacionados con el origen racial o étnico, creencias religiosas, membresía a partidos políticos o a organizaciones religiosas, estado de salud, vida privada, así como datos personales relacionados con condenas penales, medidas coercitivas, sanciones disciplinarias o contravenciones;
2) operaciones de procesamiento de datos genéticos, biométricos y datos que permiten la ubicación geográfica de individuos mediante redes de comunicación electrónica;
3) operaciones de procesamiento de datos personales mediante medios electrónicos, con el fin de evaluar aspectos de la personalidad, tales como competencia profesional, credibilidad, comportamiento, etc.;
4) operaciones de procesamiento de datos personales mediante medios electrónicos dentro de sistemas de seguimiento, con el fin de analizar la solvencia, situación económico-financiera, hechos susceptibles de atraer responsabilidad disciplinaria, contravencional o penal de los individuos;
5) operaciones de procesamiento de datos personales de menores con fines comerciales (actividades de marketing directo);
6) operaciones de procesamiento de datos personales mencionados en los subpuntos 1) y 2) de este anexo, así como datos personales de menores recolectados a través de internet o mensajería electrónica.
Los requisitos para garantizar la seguridad de los datos personales en su procesamiento dentro de los sistemas de información de datos personales (en adelante, Requisitos) tienen como objetivo establecer las reglas mínimas para que los controladores de datos personales implementen las medidas técnicas y organizativas necesarias para garantizar la seguridad, confidencialidad e integridad de los datos personales procesados dentro de los sistemas de información de datos personales y/o registros manualmente mantenidos, conforme a las disposiciones de la Ley No. 17-XVI del 15 de febrero de 2007, sobre la protección de datos personales (Boletín Oficial de la República de Moldavia, 2007, no. 107-111, art. 468) y la Ley No. 71-XVI del 22 de marzo de 2007, sobre registros (Boletín Oficial de la República de Moldavia, 2007, no. 70-73, art. 314).
Estos Requisitos crean el marco necesario para la aplicación de la Convención para la protección de los individuos con respecto al procesamiento automatizado de datos personales, firmada en Estrasburgo el 28 de enero de 1981, publicada en la Serie de Tratados Europeos, No. 108, ratificada por la República de Moldavia mediante la Decisión del Parlamento No. 483-XIV del 2 de julio de 1999.
Según la Decisión No. 1123 del 14.12.2010 sobre la aprobación de los Requisitos para garantizar la seguridad de los datos personales al procesarlos en sistemas de información de datos personales, las medidas de protección de los datos personales son una parte integral de los trabajos para la creación, desarrollo y operación de sistemas de información de datos personales y se implementarán de forma continua por todos los controladores de datos personales. La protección de los datos personales en los sistemas de información de datos personales se garantiza mediante un conjunto de medidas técnicas y organizativas para prevenir el procesamiento ilícito de los datos personales. Las medidas de protección para los datos personales procesados en los sistemas de información de datos personales se implementan asegurando la confidencialidad de estas medidas. Está prohibido implementar cualquier medida o trabajo utilizando los recursos informáticos del controlador de datos personales si no se adoptan e implementan medidas adecuadas de protección de los datos personales.
“Sykors Media” certifica que cumple con los requisitos mínimos para la seguridad de los datos personales.
Según la Decisión No. 1123 del 14.12.2010, la protección de los datos personales en los sistemas de información de datos personales se garantiza con los siguientes fines:
1) prevenir filtraciones de información que contenga datos personales mediante acceso no autorizado a ella;
2) prevenir la destrucción, modificación, copia, bloqueo no autorizado de los datos personales en las redes de telecomunicaciones y recursos informáticos;
3) cumplir con el marco legal para el uso de sistemas informáticos y software para el procesamiento de datos personales;
4) garantizar la integridad, exactitud y completitud de los datos personales en las redes de telecomunicaciones y recursos informáticos;
5) mantener la capacidad de gestionar el proceso de procesamiento y almacenamiento de datos personales.
La protección de los datos personales procesados en los sistemas de información se logra mediante los siguientes métodos:
1) prevenir conexiones no autorizadas a redes de telecomunicaciones e interceptación de datos personales transmitidos a través de estas redes mediante medios técnicos;
2) excluir el acceso no autorizado a los datos personales que se están procesando;
3) prevenir acciones técnicas y de software especiales que puedan causar la destrucción o modificación de los datos personales o fallos en la operación de los sistemas técnicos y de software;
4) prevenir acciones intencionales y/o no intencionales de usuarios internos y/o externos, así como de otros empleados del controlador de datos personales, que puedan causar la destrucción o modificación de los datos personales o fallos en los sistemas técnicos y de software.
El acceso a las instalaciones/oficinas/espacios donde se encuentran los sistemas de información de datos personales está restringido, y solo se permite el acceso a personas autorizadas durante el horario laboral, según la lista y las señales de identificación adecuadas (distintivos, tarjetas de identificación, tarjetas de chip). Las salas donde se instalan los sistemas de información de datos personales están equipadas con sistemas de control de acceso y videovigilancia para monitorear el acceso a estos espacios.
Durante el monitoreo, se utilizan sistemas de vigilancia en tiempo real y sistemas de alarma para rastrear todos los casos de acceso autorizado y/o no autorizado. Se utilizan medios automatizados para detectar casos de acceso no autorizado e iniciar acciones de bloqueo. Las computadoras, servidores y otros terminales de acceso se colocan en áreas altamente seguras con acceso restringido a personas no autorizadas.
Los equipos eléctricos utilizados para mantener la funcionalidad de los sistemas de información de datos personales, así como los cables eléctricos, están protegidos contra daños y conexiones no autorizadas. En caso de emergencia, falla o fuerza mayor, se asegura la posibilidad de desconectar el suministro eléctrico de los sistemas de información de datos personales, incluida la posibilidad de desconectar cualquier componente informático. También se implementan medidas de seguridad contra incendios para las instalaciones/oficinas/salas donde se encuentran los sistemas de información de datos personales y los equipos de procesamiento de datos personales. Se instalan sistemas automatizados de detección/señalización de incendios y sistemas de extinción en estos lugares.
Las computadoras, terminales de acceso y impresoras se desconectan al final de las sesiones laborales. Los dispositivos de procesamiento de datos personales, la información que contiene datos personales o el software destinado para el procesamiento de datos personales se retiran del perímetro de seguridad solo con permiso escrito de la gerencia del controlador de datos personales. La retirada e inserción de dispositivos de procesamiento de datos personales en/del perímetro de seguridad se registra.
La identificación y autenticación de los usuarios de los sistemas de información de datos personales y los procesos realizados en nombre de estos usuarios se lleva a cabo. Todos los usuarios (incluidos el personal de soporte técnico, administradores de red, programadores y administradores de bases de datos) tendrán un identificador personal (ID de usuario) que no debe reflejar el nivel de accesibilidad del usuario. Los ID de usuario se confirman mediante contraseñas, medios especiales de acceso físico con memoria (tokens), tarjetas microprocesador, medios de autenticación biométrica basados en características únicas e individuales de la persona.
La gestión de identificadores de usuarios incluye:
1) identificación única de cada usuario;
2) verificación de la autenticidad de cada usuario;
3) obtención de autorización de la persona responsable de emitir el identificador de usuario;
4) asegurarse de que el identificador de usuario se emita a una persona específica;
5) desactivación de la cuenta de usuario después de un período de inactividad, establecido en un máximo de 2 meses;
6) ejecución de copias de seguridad de los identificadores de usuario.
La información que abandona el sistema, que contiene datos personales, está marcada, indicando las prescripciones para su posterior procesamiento y difusión, incluyendo la especificación del número de identificación único del titular de los datos personales. Todos los métodos de acceso remoto a los sistemas informáticos de datos personales están asegurados (utilizando VPN, cifrado, etc.), documentados, monitoreados y controlados. Cada método de acceso remoto a los sistemas informáticos de datos personales está autorizado por las personas responsables de los titulares de los datos personales y se permite solo a los usuarios que lo necesiten para cumplir con los objetivos establecidos.
El acceso inalámbrico a los sistemas informáticos de datos personales está documentado, monitoreado y controlado. El acceso inalámbrico a los sistemas informáticos de datos personales está permitido solo si se utilizan medios criptográficos de protección de la información. El uso de tecnologías inalámbricas está autorizado por las personas responsables del titular de los datos personales.
Se garantiza que el acceso de usuarios externos a la red interna donde se procesan los datos personales sea imposible.
La integridad de los datos personales transmitidos se garantiza mediante el uso de medios de protección criptográfica.
La confidencialidad de los datos personales transmitidos se garantiza mediante el uso de medios de protección criptográfica.
Se garantiza la protección contra la infiltración de software dañino en el software destinado al procesamiento de datos personales, una medida que asegura la renovación automática y oportuna de la protección contra programas dañinos y firmas de virus. Se asegura la administración centralizada de los mecanismos de protección contra software dañino en el software destinado al procesamiento de datos personales.
Los titulares de los datos personales verifican regularmente, al menos una vez al año, la implementación de medidas técnicas y/o organizativas tomadas para detectar disfunciones respecto al uso de los sistemas de telecomunicaciones en el proceso de procesamiento de datos personales y/o realizar mejoras si es necesario. Los controles de seguridad se actualizan cada vez que el titular de los datos se reorganiza o cambia su infraestructura. Para verificar el nivel de protección de los sistemas informáticos de datos personales y prevenir posibles casos de acceso ilícito o accidental a estos sistemas informáticos, identificando puntos débiles en sus mecanismos de protección, el Centro realiza controles de seguridad periódicos, incluyendo la implementación de medidas técnicas especiales para simular un modelo de acceso a los sistemas informáticos de datos personales. Los resultados de los controles realizados por el Centro se proporcionan inmediatamente al titular de los datos personales cuyos sistemas informáticos de datos personales fueron sometidos al control, con instrucciones, si es necesario, sobre las acciones que deben tomarse para garantizar la seguridad en el procesamiento de los datos personales.
5. PROPÓSITO DE LA RECOLECCIÓN DE DATOS PERSONALES
„Sykors Media” procesa los datos personales de sus clientes y otras personas que estén en contacto con ella o proporcionen datos personales a través de la navegación en el sitio web sykors.com, con el propósito de emitir y entregar las pólizas de seguros compradas.
Los datos personales (datos de identidad, dirección, número de identificación personal, número de teléfono, edad u otros datos similares proporcionados) pueden ser procesados y utilizados por „Sykors Media” tanto para el propósito de emitir y entregar las pólizas de seguros solicitadas en el sitio web de la empresa, como para crear bases de datos y utilizarlas en futuros esfuerzos y actividades del operador, de acuerdo con las disposiciones de la Ley no. 133 de 08.07.2011 para la protección de las personas respecto al procesamiento de datos personales.
„Sykors Media” no divulgará ninguno de sus datos (información personal u opcional) a terceros sin su consentimiento, a menos que estemos convencidos de buena fe de que la ley lo requiere o si es necesario para proteger los derechos o propiedades de nuestra empresa.
6. AUDITORÍA DE SEGURIDAD EN LOS SISTEMAS INFORMÁTICOS DE DATOS PERSONALES
„Sykors Media” organiza la generación de registros de auditoría de seguridad en los sistemas informáticos de datos personales para los siguientes eventos:
o El registro de intentos de inicio/cierre de sesión en el sistema (registro de la fecha y hora del intento de inicio/cierre de sesión; ID de usuario; el resultado del intento de inicio/cierre de sesión – positivo o negativo);
o El registro de intentos de acceder a aplicaciones y procesos destinados al procesamiento de datos personales;
o El registro de intentos de inicio/parada de sesiones de trabajo de aplicaciones y procesos destinados al procesamiento de datos personales, registrando cambios en los derechos de acceso de los usuarios y el estado de los objetos de acceso;
o El registro de cambios en los derechos de acceso de los usuarios (competencias) y el estado de los objetos de acceso;
o El registro de información que abandona el sistema y contiene datos personales (documentos electrónicos, datos, etc.), registrando cambios en los derechos de acceso de los sujetos y el estado de los objetos de acceso.
En caso de mal funcionamiento de la auditoría de seguridad en los sistemas informáticos de datos personales o de completar toda la memoria asignada para almacenar los resultados de la auditoría, se notifica a la persona responsable de la política de seguridad de datos personales, y se toman medidas para restaurar la capacidad operativa del sistema de auditoría. Se realiza un monitoreo continuo y análisis de los registros de auditoría en los sistemas informáticos de datos personales para detectar actividades inusuales o sospechosas relacionadas con el uso de estos sistemas informáticos, con la preparación de un informe sobre la detección de tales actividades, almacenado en medios informáticos electrónicos, y tomando acciones predefinidas en la política de seguridad para tales casos.
Los resultados de la auditoría de seguridad en los sistemas informáticos de datos personales, que representan operaciones de procesamiento de datos personales y medios de auditoría, están protegidos contra accesos no autorizados mediante el establecimiento de medidas de seguridad adecuadas, incluyendo la garantía de su confidencialidad e integridad.
Para garantizar la integridad de la información que contiene datos personales y tecnologías de la información, se asegura la identificación, el registro y la eliminación de deficiencias en el software destinado al procesamiento de datos personales, incluyendo la instalación de correcciones y paquetes de actualización para estos sistemas de software. Se garantiza la protección contra la infiltración de programas dañinos en el software destinado al procesamiento de datos personales, una medida que asegura la renovación automática y oportuna de la protección contra programas dañinos y firmas de virus. Se utilizan tecnologías y herramientas de detección de intrusiones para monitorear eventos en los sistemas informáticos de datos personales y detectar ataques, incluyendo la identificación de intentos no autorizados de usar los sistemas informáticos.
Para restaurar la información que contiene datos personales (para crear copias de seguridad), „Sykors Media” establece el intervalo de tiempo en el que se realizan copias de seguridad de los datos personales y el software utilizado para el procesamiento automatizado de datos personales, pero en cualquier caso, este período es inferior a un año, y se almacena en ubicaciones protegidas fuera del área donde se encuentran esta información y software. Los procedimientos de restauración de copias de seguridad se actualizan y prueban regularmente para garantizar su efectividad.
„Sykors Media” verifica regularmente, al menos una vez al año, la implementación de medidas técnicas y/o organizativas tomadas para detectar disfunciones respecto al uso de los sistemas de telecomunicaciones en el proceso de procesamiento de datos personales y/o realizar mejoras si es necesario. Los controles de seguridad se actualizan cada vez que el titular se reorganiza o cambia su infraestructura. Para verificar el nivel de protección de los sistemas informáticos de datos personales y prevenir posibles casos de acceso ilícito o accidental a estos sistemas informáticos, detectando puntos débiles en sus mecanismos de protección, el Centro realiza controles de seguridad periódicos, incluyendo la implementación de medidas técnicas especiales para simular un modelo de acceso a los sistemas informáticos de datos personales.
7. GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN Y PROTECCIÓN TÉCNICA DE LA INFORMACIÓN QUE CONTIENE DATOS PERSONALES
El personal responsable de operar los sistemas informáticos de datos personales recibe capacitación, al menos una vez al año, sobre sus responsabilidades y obligaciones en la gestión y respuesta a incidentes de seguridad. Existe un mecanismo para informar a la dirección del titular de los datos personales sin demora sobre incidentes que infringen la seguridad de los sistemas informáticos de datos personales. El procesamiento de incidentes incluye la detección, análisis, prevención de desarrollo, eliminación y restauración de la seguridad. Se utilizan herramientas automatizadas para apoyar el proceso de manejo de incidentes de seguridad en los sistemas informáticos de datos personales. Los incidentes de seguridad en los sistemas informáticos de datos personales se monitorean y documentan de manera continua.
La presencia incontrolada de personas o vehículos y la instalación accidental de antenas están excluidas en una zona de al menos 15 metros desde la ubicación de los medios técnicos primarios del sistema informático de datos personales, para garantizar la seguridad del procesamiento de datos personales. Las salas de servidores están protegidas contra la fuga de información que contiene datos personales debido a emisiones electromagnéticas mediante el blindaje de las habitaciones o la instalación de sistemas de interferencia electromagnética, los cuales son diseñados, construidos y probados por empresas especializadas. Se excluye o limita la instalación no autorizada de otros dispositivos eléctricos, radio o similares en las habitaciones donde se encuentran los medios técnicos de procesamiento de datos personales, para garantizar la seguridad del procesamiento de los datos personales. El equipo cuyas líneas salen fuera del perímetro controlado se instala al menos a 3 metros de los medios técnicos en los que se procesan los datos personales.
