1. Registro de Incidencias [Reglamento Seguridad, art.9]

El usuario de los sistemas de información de la Universitat de València que tenga conocimiento de una incidencia es responsable de su comunicación mediante la creación de un ticket en la herramienta de gestión https://solicitudes.uv.es.

Una incidencia es cualquier evento que, a juicio del usuario, pueda poner en riesgo el sistema de información. Serán consideradas como incidencias, entre otras, el bloqueo de la cuenta, la pérdida de información, la pérdida de la contraseña, comportamientos sospechosos y virus.

El conocimiento y la no notificación de una incidencia por parte del usuario de un sistema de información se considera como una falta contra la seguridad por parte de este.

  1. Política de contraseñas

Las contraseñas de las cuentas de usuario que proporciona la Universitat de València son personales e intransferibles, y son de uso exclusivo de su titular. [Uso recursos TIC, art.10.1]

Cada usuario es responsable de la confidencialidad de su contraseña. En caso de que esta sea conocida de manera fortuita o fraudulenta por personas no autorizadas, el usuario deberá cambiarla, bien a través del servicio de gestión de cuentas, bien mediante comunicación inmediata al soporte de atención de usuarios para incidencias informáticas de la Universitat de València. [Uso recursos TIC, art.10.2]

Los usuarios deben cambiar la contraseña de sus cuentas con la frecuencia establecida por la política de seguridad de la Universitat de València. Las contraseñas se deben crear de acuerdo con los estándares de seguridad para que no sean fácilmente conocidas, los cuales se publican en las guías correspondientes. [Uso recursos TIC, art.11]

Se deben proteger los identificadores de usuario y contraseña personales, y no revelarlos a nadie. Las contraseñas no se han de almacenar en ficheros legibles, macros, ordenadores sin control de acceso o de cualquier forma o lugar donde puedan ser accesibles por terceros sin autorización. [Reglamento Seguridad.art.4.9]

Nunca se deben de facilitar los datos de usuario y contraseña a terceras personas, aunque se trate de personal propio de la Universitat. [Reglamento Seguridad.art.4.10]

  1. Control de puestos

El acceso a los ordenadores y equipos vinculados al puesto de trabajo debe realizarse con el usuario y contraseña asignados. [Reglamento Seguridad.art.4.5]
En caso de ausencia del lugar de trabajo en horario de oficina, ha de procederse al bloqueo del ordenador, que en todo caso deberá de producirse automáticamente después de 15 minutos de inactividad. [Reglamento Seguridad.art.4.6]

En el diseño del lugar de trabajo, se asegurará que la pantalla no resulte fácilmente accesible o legible por terceros no autorizados. [Reglamento Seguridad.art.4.7]

  1. Política de mesas limpias e impresoras

No se debe dejar abandonados documentos con información protegida en la impresora, fax o dispositivos similares, o desatendidos en el lugar de trabajo. [Reglamento Seguridad.art.5.1]

La impresión o fotocopia de documentos debe limitarse únicamente a aquellos que sean estrictamente necesarios y preferiblemente a doble cara. Los documentos rechazados, incluyendo las fotocopias erróneas, no podrán ser reutilizados cuando contengan datos personales o información confidencial o restringida, debiendo procederse a su inmediata destrucción. [Reglamento Seguridad.art.5.2]

Al abandonar el puesto de trabajo (descansos, pausa comer o fin de jornada laboral), el usuario lo dejará completamente libre de documentación, usando a tal efecto las cajoneras, archivadores, armarios, etc.

Antes de abandonar salas comunes o permitir que alguna persona ajena entre, se limpiarán adecuadamente las pizarras de las salas de reuniones o despachos, teniendo cuidado de que no quede ningún tipo de información sensible o que pudiera ser reutilizada. [Reglamento Seguridad.art.5.5]

  1. Custodia de llaves y cierre de puertas y armarios

El usuario de los sistemas de información de la Universitat de València debe mantener correctamente custodiadas las llaves de acceso a los despachos, cajoneras, armarios, así como cualquier otro elemento que contenga ficheros no automatizados con datos de carácter personal, que deberán ser cerrados cuando el usuario se ausente temporalmente de esta ubicación, a fin de evitar accesos no autorizados.

  1. Atención al público

El usuario de los sistemas de información, que atienda directamente al público, no podrá tener ningún tipo de información acerca de otro cliente/usuario a su alcance.

  1. Almacenamiento de información

Se prohíbe expresamente el uso de soportes de información extraíbles (dispositivos de almacenamiento USB, memorias flash, etc..) con datos confidenciales o restringidos de la Universitat de València sin la autorización del responsable de la Unidad de Gestión. Se recomienda como procedimiento adecuado a estos fines el uso de espacios de disco corporativo. Cualquier información almacenada en soportes de información extraible deberá de ser usada exclusivamente por motivos de trabajo, y la información deberá eliminarse o guardarse en los sitios designados para ello. [Reglamento Seguridad, art.6.1]

Respecto a los ficheros no automatizados, el almacenamiento se realizará en lugares que permitan el cerrado con llave o mecanismos que impidan su apertura, especialmente al término de las Jornadas laboral.

  1. Creación de ficheros i ficheros temporales

El usuario de los sistemas de información de la Universitat de València no está autorizado a crear nuevos ficheros al margen de los existentes. Cuando en el desarrollo de sus funciones, necesite de la creación de un nuevo fichero que contenga datos de carácter personal, deberá informar de forma previa al responsable de seguridad al objeto de autorizar la creación y establecer las normas aplicables a su implantación.

Se debe evitar el almacenamiento de copia de los datos personales de los ficheros en archivos temporales.

Son ficheros temporales aquellos en los que se almacenan datos personales, generados para el cumplimiento de una necesidad determinada, siempre y cuando su existencia no sea superior a un mes.

En el caso de que sea necesario realizar esas copias temporales se deberá informar de forma previa al responsable de seguridad de datos al objeto de autorizar la creación y establecer las normas aplicables a su implantación.

Los ficheros temporales deben ser borrados una vez hayan dejado de ser necesarios para los fines que motivaron su creación y mientras están vigentes, deberán ser almacenados en la carpeta habilitada al efecto por los administradores del sistema. Si transcurrido el mes el usuario detecta la necesidad de continuar utilizando la información almacenada en el fichero, deberá comunicarlo al responsable de seguridad.

  1. Destrucción de dispositivos o soportes que contengan información protegida

La destrucción de cualquier tipo de soporte automatizado (CD, DVD, disco duro, memoria USB, etc.) o manual (papel, cintas de video, etc.) se realizará de forma que los datos que contenían no sean recuperables y si es necesario a través de los procedimientos establecidos. [Reglamento Seguridad.art.5.6]

  1. Acceso a los sistemas de manera remota

El acceso remoto (desde fuera de la red de la Universitat) a los sistemas de información deberá realizarse mediante una conexión segura. El usuario aplicará al equipo que utilice las normas de seguridad contenidas en este apartado (ver Reglamento de Seguridad) para los equipos situados en lugares de la Universitat de València. [Reglamento Seguridad.art.4.13]

Cuando para el acceso a los sistemas de información no se pueda garantizar una conexión segura (HTTPS o similar) la comunicación se deberá realizar a través de la conexión VPN de la Universitat de València (vpn.uv.es).

  1. Deber de confidencialidad

La información contenida en los Sistemas de Información de la Universitat de València es de su exclusiva propiedad; por tanto, los usuarios han de abstenerse de comunicar, divulgar, distribuir o poner en conocimiento o al alcance de terceros (externos o internos no autorizados) esta información, excepto autorización expresa del Comité de Gestión y Coordinación de la Seguridad de la Información. [Reglamento Seguridad.art.10.1]

Todo usuario (de la Universitat de València o de terceras organizaciones) que, en virtud de su actividad profesional, pudiera tener acceso a datos de carácter personal, está obligado a guardar secreto sobre estos y a aplicar las medidas de seguridad previstas en el documento de seguridad. Este deber se mantendrá de forma indefinida, incluso más allá de la relación laboral o profesional con la Universitat de València.[Reglamento Seguridad.art.10.2]

El acceso y las consultas a datos de carácter personal serán las estrictamente necesarias para el desempeño de tales funciones.

  1. Responsabilidad

Todos los usuarios de los sistemas de información bajo el alcance del Esquema Nacional de Seguridad en la Universitat de València están obligados a cumplir el Reglamento de Seguridad de la información en la utilización de medios electrónicos de la Universitat de València. Su incumplimiento generará responsabilidad que se substanciará conforme al procedimiento establecido para cada caso. [Reglamento Seguridad.art.15]

El incumplimiento de las indicaciones enumeradas en este documento por parte de los usuarios de los sistemas de información de la Universitat de València, podrá generar las medidas disciplinarias correspondientes. [Estatutos de la Universitat de València, art.203,204], [Ley 10/2010, de 9 de julio, de ordenación y gestión de la Función Pública Valenciana.art 138,139,140,141,142,143 y 144], [Ley del Estatuto Básico del Empleado Público, art.93,94,95 y 96].