Registro de accesos a LOPD
Registro de accesos a LOPD
autor: Antxon Larrañaga, Enero 30, 2012
Los detectores de movimiento y las cámaras de vídeovigilancia están muy presentes en nuestras vidas. Se instalan como medida de seguridad para que nos avisen y registren los accesos indebidos.
De la misma manera, es conveniente, y en algunos casos obligatorio, detectar y registrar los accesos a la información que custodian las organizaciones.
Concretamente, el artículo 103 del Reglamento de la LOPD , habla sobre los accesos a información de nivel alto diciendo: "De cada intento de acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado." Es decir, obliga a mantener un Registro de accesos. Así mismo, indica: "El responsable de seguridad se encargará de revisar al menos una vez al mes la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados."
Según el citado reglamento hay que aplicar esta medida a los siguientes ficheros de datos de carácter personal:
De esta manera los sistemas de información que utilizan el Archivo digital tienen garantizado el cumplimiento de los requisitos de la LOPD en lo que respecta a la gestión documental.
Concretamente, el artículo 103 del Reglamento de la LOPD , habla sobre los accesos a información de nivel alto diciendo: "De cada intento de acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado." Es decir, obliga a mantener un Registro de accesos. Así mismo, indica: "El responsable de seguridad se encargará de revisar al menos una vez al mes la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados."
Según el citado reglamento hay que aplicar esta medida a los siguientes ficheros de datos de carácter personal:
- Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.
- Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas.
- Aquéllos que contengan datos derivados de actos de violencia de género.
Respuesta de dokusi
Para cumplir con estos requisitos legales, dokusi ha dotado al Archivo digital de un Registro de accesos. Esta herramienta registra cada intento de acceso a los documentos electrónicos que, según criterios de la LOPD, son de nivel alto. De manera complementaria, dokusi ha implantado una interfaz de consulta a dicho registro para que los responsables de seguridad puedan revisar los intentos de acceso. Esta interfaz facilita en gran medida la elaboración del informe mensual. Por ejemplo, permite consultar:- Historial de accesos: accesos (tanto permitidos como denegados) realizados sobre los documentos pertenecientes a la aplicación concreta.
- Historial de usuarios: permite obtener los usuarios que han accedido a los documentos de una determinada aplicación.
- Historial de modificaciones de documento: permite observar todas las modificaciones que se han realizado sobre un determinado documento a lo largo del tiempo.
Cada una de estas consultas permite utilizar filtros (fechas, tipos de acceso, aplicaciones, accesos permitidos o denegados, usuarios, etc.) para acotar con precisión la información buscada.
De esta manera los sistemas de información que utilizan el Archivo digital tienen garantizado el cumplimiento de los requisitos de la LOPD en lo que respecta a la gestión documental.
Funcionamiento paso a paso del Registro de accesos
Cuando un sistema de información del Gobierno vasco -por ejemplo, la aplicación de Registro, cualquier aplicación de Tramitación, el propio Sistema de Gestión de Archivo (AKS/SGA) o cualquier otro sistema de gestión- accede a un documento albergado en el Archivo digital o deposita uno nuevo, lo debe hacer invocando un servicio web del Framework de Servicios Documentales (FSD). Éste, comprueba los permisos de acceso del sistema de información y decide si atender o no la petición. En cualquiera de los dos casos, si el documento solicitado está calificado, según criterios de LOPD, como de nivel alto se apunta una nueva entrada en el Registro de accesos, con los siguientes datos:- Identificación del usuario que ha realizado el acceso.
- Fecha y hora del acceso.
- OID del documento accedido.
- Tipo de acceso solicitado.
- Autorizado o denegado.
- Aplicativo desde el que se realiza el acceso.
- Metadatos concretos accedidos (en caso de actualización se incluye el nuevo valor).
- Usuario de aplicación propietario del documento.
