Estándar de administración de datos

Objetivo

Esta norma establece los requisitos de gestión de datos para los organismos estatales con el objetivo de proteger la confidencialidad, la integridad y la disponibilidad de los datos estatales.

Descripción general

Los organismos estatales recopilan y procesan diversos datos, incluida información confidencial. Es necesario adoptar medidas para proteger los datos contra modificaciones, destrucciones o divulgaciones no autorizadas, ya sean accidentales o intencionadas, y para garantizar su autenticidad, integridad y disponibilidad.

Alcance

Para los fines de esta norma, la seguridad se define como la capacidad de proteger la confidencialidad, la integridad y la disponibilidad de la información procesada, almacenada y transmitida por una agencia. Los datos incluyen toda la información, tanto electrónica como en papel, que sea procesada, almacenada o transmitida por una agencia estatal.

Esta política se aplica a todas las agencias según lo define el Capítulo 8A, Sección 101 del Código de Iowa. Se recomienda a las agencias que no participan que sigan las directrices de esta y otras políticas, normas, procesos y procedimientos de seguridad a nivel empresarial, así como que participen en programas de seguridad a nivel empresarial.

Definiciones

A continuación se definen algunos términos seleccionados que se utilizan en el Estándar de Administración de Datos Empresariales:

• Disponibilidad : Garantizar el acceso y el uso oportunos y fiables de la información.
• Datos confidenciales : Datos identificados como confidenciales según la política de clasificación de datos de la agencia.
• Confidencialidad : La propiedad que garantiza que la información sensible no se divulgue a personas, entidades o procesos no autorizados.
• Violación de datos : Una violación de datos es la exposición, divulgación o pérdida no autorizada (intencional o no intencional) de información personal o financiera.
• Responsable de datos : Personas con responsabilidad en la planificación y formulación de políticas relacionadas con los datos dentro de la agencia. Los responsables de datos tienen la responsabilidad de garantizar que se tomen las medidas adecuadas para proteger los datos y que las políticas y directrices correspondientes se implementen correctamente.
• Integridad : La propiedad de que los datos confidenciales no hayan sido modificados o eliminados de manera no autorizada y sin ser detectados.

Elementos

A continuación se detallan los elementos del Estándar de Seguridad para la Administración de Datos Empresariales.

1. Responsable(s) de datos : Cada organismo deberá designar a uno o más responsables de datos encargados de mantener la exactitud, la privacidad y la seguridad de los datos recopilados por el organismo.
2. Necesidad : Los organismos solo recopilarán los datos confidenciales necesarios para cumplir con la misión del organismo y los requisitos legales.
3. Retención : Los organismos solo conservarán los datos confidenciales necesarios para cumplir con la misión del organismo y los requisitos legales.
4. Acceso : Las agencias deberán garantizar que solo los usuarios autorizados accedan a la información confidencial de la agencia. Los usuarios autorizados son aquellos que tienen una necesidad comercial legítima y necesaria para acceder a los datos.
5. Almacenamiento : Los datos confidenciales deberán almacenarse de forma segura. Si es posible, los datos electrónicos deberán almacenarse en un servidor centralizado. Los datos confidenciales transmitidos o almacenados fuera del control de la agencia deberán cumplir con los requisitos de la Norma 10 que se detalla a continuación.
6. Transmisión : Los datos confidenciales se transmitirán de forma segura.
7. Capacitación : La capacitación sobre seguridad de la agencia deberá incluir una sección sobre la protección de la información confidencial.
   a. Las organizaciones/individuos (es decir, tesoreros del condado, abogados, auditores) a quienes se les haya otorgado acceso a datos/sistemas estatales confidenciales deberán recibir capacitación sobre concientización en seguridad antes de recibir dicho acceso.
8. Desarrollo de nuevos sistemas : Se desaconseja a las agencias el uso de datos confidenciales para probar sistemas informáticos en desarrollo. Si es imprescindible utilizar datos confidenciales para las pruebas, el sistema en desarrollo deberá cumplir con los mismos estándares de seguridad que el sistema en producción.
9. Números de Seguro Social : La recopilación y el uso de números de seguro social deberán ser limitados y basarse en una necesidad empresarial sólida. Los números de seguro social no deberán ser:
   a. Se utiliza como número de cliente único.
   b. Se utiliza como clave primaria en bases de datos, excepto cuando lo exija la ley.
   c. Se muestra íntegramente en aplicaciones web externas más allá de la pantalla inicial de introducción de datos.
   d. Se muestra íntegramente en materiales impresos.
10. Cifrado : Los campos de la base de datos que contengan información confidencial deberán cifrarse en reposo mediante AES (256 bits) o un cifrado más robusto.
11. Intercambio de datos : El intercambio de información confidencial fuera de la agencia deberá reducirse al mínimo. Las agencias deberán:
    a. Contar con una política escrita que regule el intercambio de datos.
    b. Exigir un acuerdo de intercambio de datos escrito y firmado entre la agencia y la entidad externa antes del intercambio de datos. El acuerdo deberá incluir:
    i. Los datos que se van a compartir;
    ii. El uso previsto de los datos;
    iii. El período de tiempo que abarca el intercambio;
    iv. El requisito de que el solicitante proteja la confidencialidad de los datos;
    v. El requisito de que el solicitante no vuelva a divulgar los datos;
    vi. El requisito de que el solicitante informe inmediatamente a la agencia sobre los datos perdidos o robados;
    vii. y Disposiciones para la disposición final de los datos.
    c. Mantener un registro de los acuerdos de intercambio de datos.
    d. Encriptar los datos electrónicos antes de transmitirlos.
    e. Asegúrese de que el intercambio de datos cumpla con las leyes estatales y federales.
12. Publicación de datos : Los organismos deberán utilizar técnicas exhaustivas para evitar la divulgación de información confidencial, de conformidad con las normas profesionalmente aceptadas, para anonimizar los datos confidenciales antes de divulgarlos al público.
13. Eliminación : Los dispositivos y soportes que contengan datos confidenciales deberán borrarse mediante un método aprobado por el Departamento de Defensa antes de su eliminación.
    a. Los dispositivos que no se puedan borrar serán triturados.
    b. Los documentos en papel que contengan datos confidenciales deberán triturarse utilizando una trituradora de microcorte antes de su eliminación o entrega a una planta de reciclaje.
14. Notificación : Los organismos estatales deberán notificar a las personas afectadas por una violación de datos. La notificación se realizará con la mayor celeridad posible y sin demoras injustificadas, de conformidad con las medidas necesarias para determinar el alcance de la violación de seguridad y con las necesidades legítimas de las fuerzas del orden.

Actualizaciones

Este documento deberá revisarse al menos cada dos años y actualizarse según sea necesario.

Fecha de entrada en vigor

Esta norma entrará en vigor el 2 de septiembre de 2014.

Aplicación

Esta norma se aplicará de conformidad con el Código Administrativo de Iowa 11—25.11(8A).

Diferencia

El Código Administrativo de Iowa, sección 11 - 25.11(2), contempla excepciones a las normas de seguridad. Las solicitudes de excepción a cualquiera de los requisitos de esta política deberán presentarse por escrito al Director de Seguridad de la Información antes de su implementación.