202602401 ANEXO XI Declaracion requisitos del RGPD y de seguridad de la informacion.pdf
Documento Adicional
Ver licitación
{# full_text keeps real newlines; whitespace-pre-wrap renders them
(so no |linebreaks filter, which would double the spacing). #}
<!-- image -->
## ANEXO XI.- DECLARACIÓN RESPONSABLE SOBRE GARANTÍAS SUFICIENTES DE APLICACIÓN DE LAS MEDIDAS TÉCNICAS Y ORGANIZATIVAS APROPIADAS PARA CUMPLIR LOS REQUISITOS DEL RGPD Y DE SEGURIDAD DE LA INFORMACIÓN.
(a cumplimentar en el caso de que el objeto del contrato requiera tratamiento de datos personales por cuenta del responsable Mutualia)
…………………………………………………………, mayor de edad, con DNI ……………………………………., en calidad de (cargo) de …………………………………… de la empresa …………………………………………… (CIF………………………………..) DECLARA, a los efectos de su participación en el presente expediente de contratación que:
Aplicará, como mínimo, las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad de los datos personales adecuado al riesgo, de conformidad con lo establecido en, el artículo 32, siguientes y concordantes del Reglamento UE2016/679 General de Protección de Datos (RGPD). así como las que la legislación vigente imponga en cada momento, que en su caso incluya, entre otros: a) la seudonimización y el cifrado de datos personales; b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico; d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
A tal respecto (marcar las opciones que procedan) DECLARA:
La empresa , SÍ DISPONE de una certificación (emitida por entidad auditora externa) de Seguridad de la Información tipo ISO 27001 y/o del cumplimiento en su organización del Esquema Nacional de Seguridad (ENS) , siempre que el servicio objeto de contrato esté dentro del alcance de dicha certificación; siendo la certificación que dispone la siguiente (reseñar lo que proceda) ……………………..
La empresa NO DISPONE de una certificación (emitida por entidad auditora externa) de Seguridad de la Información tipo ISO 27001 y/o del cumplimiento en su organización del Esquema Nacional de Seguridad (ENS) , pero SE COMPROMETE EN TODO CASO A LO SIGUIENTE respecto al tratamiento de los datos personales que sean precisos para la ejecución del contrato:
A la hora de determinar un nivel adecuado de seguridad, se tendrá debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, y los riesgos que entraña el tratamiento para las personas interesadas. No obstante lo anterior, en cualquier caso , se indican a continuación las medidas mínimas de seguridad que, al menos, cumplirá:
- Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. Restaurar la disponibilidad
<!-- image -->
y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. Verificar, evaluar y valorar, de forma regular la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento. Seudonimizar y cifrar los datos personales, siempre que sea posible y oportuno.
- Autorización de personal usuario: Exigencia de autorización de acceso a datos personales validada por responsable.
- Segregación de roles según confidencialidad del dato . Medidas tecnológicas que limitan accesibilidad a la información en base a los permisos.
- Listado de usuarios con acceso a la información . Actualización del listado. Únicamente aquellos empleados a quienes se autorice por escrito tendrán acceso a los datos personales o a las instalaciones físicas en que los datos personales se almacenan o procesan. Autorizará a sus personas empleadas/colaboradoras a acceder a los datos personales exclusivamente para fines relacionados con su empleo, en la medida que necesiten conocerlos
- Identificación y autenticación: Exigencia de credenciales de acceso que identifiquen a los usuarios de manera inequívoca y personalizada mediante usuario y contraseña de acceso robusta a los sistemas de información, con actualización periódica manual de contraseña. Registro especial de accesos a categorías especiales de datos (si es el caso)
- Soportes: Se deberá disponer de una relación actualizada de personas autorizadas a tratar soportes con datos personales. Medidas de seguridad en caso de traslados de soportes fuera de las instalaciones para evitar sustracción, pérdida o acceso indebido durante el transporte (como el cifrado y/o etiquetado externo únicamente comprensible a nivel interno de la organización a fin de impedir el acceso no autorizado). Restricción de uso de soportes de memoria extraíbles (pendrives, DVDs y similares)
- Copias de respaldo: Implantar y aplicar procedimientos de copias de respaldo de los datos personales a fin de impedir la pérdida y/o destrucción de información.
- Telecomunicaciones y envío de datos: En caso de envío de datos especialmente protegidos (ejemplo: datos de salud) a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.
- Medidas de control de acceso a instalaciones y dependencias . Los servidores , en su caso, protegido por dispositivos de apertura y designación de persona responsable
- Protección con contraseña el acceso a información personal contenida en dispositivos portátiles .
- Antivirus actualizado y con escaneos periódicos. Sistema operativo permanentemente actualizado
- Acceso desde el exterior de la red a los Sistemas de Información protegido con identificación de usuario y comunicaciones cifradas. Si existe un WIFI de empresa, tiene medidas de seguridad
<!-- image -->
- Formación y concienciación periódica a las personas empleadas sobre la confidencialidad de los datos y la seguridad. Informará a su personal, colaboradores y subcontratistas de los términos establecidos en el presente contrato. Realizará cuantas advertencias y suscribirá cuantos documentos sean necesarios con su personal y colaboradores, con el fin de asegurar el cumplimiento de tales obligaciones.
- Gestión de soportes o documentos en papel: En caso de que deba conservar, archivar, custodiar y/o trasladar documentos y soportes en formato papel con datos personales deberá aplicar las siguientes medidas de seguridad:
- Los medios/dispositivos de almacenamiento de documentos tienen mecanismos de apertura tipo llaves o tarjetas electrónicas, o cualquier otra medida que impidan el acceso de personas no autorizadas.
- Política de "mesas limpias"
- Los soportes o documentos en proceso de revisión o tramitación deberán ser custodiados por personal a cargo de la misma e impedir en todo momento que pueda ser accedidos por persona no autorizada.
- Durante el traslado físico de la documentación deberán adoptarse medidas para impedir el acceso no autorizado o manipulación de la información (contenedores opacos y medios de transporte protegidos e inaccesibles por cualquier tercero - con llave o sistema equivalente -).
- Para destruir datos en papel se utilizarán las destructoras de tal modo que resulte imposible reconstruir los datos a un estado anterior que permita identificar datos personales.
(marcar, en su caso) La empresa consta adherida al CODIGO DE CONDUCTA, conforme al art. 42 RGPD ( las asociaciones y otros organismos representativos de categorías de responsables o encargados del tratamiento podrán elaborar códigos de conducta o modificar o ampliar dichos códigos con objeto de especificar la aplicación del RGPD, como en lo que respecta al tratamiento de datos personales ), siguiente (indicar) ………………………....
Fdo………………………………..
En ……….., a …………, de………….., de……………