1. Registre d'Incidències [Reglament Seguretat, art.9]

L'usuari dels sistemes d'informació de la Universitat de València que tinga coneixement d'una incidència és responsable de la seva comunicació mitjançant la creació d'un tiquet en l'eina de gestió https://solicitudes.uv.es.

Una incidència és qualsevol esdeveniment que, segons el parer de l'usuari, puga posar en risc el sistema d'informació. Seran considerades com a incidències, entre altres, el bloqueig del compte, la pèrdua d'informació, la pèrdua de la contrasenya, comportaments sospitosos i virus.

El coneixement i la no notificació d'una incidència per part de l'usuari d'un sistema d'informació es considera com una falta contra la seguretat per part d'aquest.

  1. Política de contrasenyes

Les contrasenyes dels comptes d'usuari que proporciona la Universitat de València són personals i intransferibles, i són d'ús exclusiu del seu titular. [Ús recursos TIC, art.10.1]

Cada usuari és responsable de la confidencialitat de la seva contrasenya. En cas que aquesta siga coneguda de manera fortuïta o fraudulenta per persones no autoritzades, l'usuari haurà de canviar-la, bé a través del servei de gestió de comptes, bé mitjançant comunicació immediata al suport d'atenció d'usuaris per a incidències informàtiques de la Universitat de València. [Ús recursos TIC, art.10.2]

Els usuaris han de canviar la contrasenya dels seus comptes amb la freqüència establerta per la política de seguretat de la Universitat de València. Les contrasenyes s'han de crear d'acord amb els estàndards de seguretat perquè no siguen fàcilment conegudes, els quals es publiquen en les guies corresponents. [Ús recursos TIC, art.11]

S'han de protegir els identificadors d'usuari i contrasenya personals, i no revelar-los a ningú. Les contrasenyes no s'han d'emmagatzemar en fitxers llegibles, macros, ordinadors sense control d'accés o de qualsevol forma o lloc on puguen ser accessibles per tercers sense autorització. [Reglament Seguretat.art.4.9]

Mai s'han de facilitar les dades d'usuari i contrasenya a terceres persones, encara que es tracte de personal propi de la Universitat. [Reglament Seguretat.art.4.10]

  1. Control de llocs

L'accés als ordinadors i equips vinculats al lloc de treball ha de realitzar-se amb l'usuari i contrasenya assignats. [Reglament Seguretat.art.4.5]

En cas d'absència del lloc de treball en horari d'oficina, ha de procedir-se al bloqueig de l'ordinador, que en tot cas haurà de produir-se automàticament després de 15 minuts d'inactivitat. [Reglament Seguretat.art.4.6]

En el disseny del lloc de treball, s'assegurarà que la pantalla no resulte fàcilment accessible o llegible per tercers no autoritzats. [Reglament Seguretat.art.4.7]

  1. Política de taules netes i impressores

No s'ha de deixar abandonats documents amb informació protegida en la impressora, fax o dispositius similars, o desatesos en el lloc de treball. [Reglament Seguretat.art.5.1]

La impressió o fotocòpia de documents ha de limitar-se únicament a aquells que siguen estrictament necessaris i preferiblement a doble cara. Els documents rebutjats, incloent les fotocòpies errònies, no podran ser reutilitzats quan continguen dades personals o informació confidencial o restringida, havent de procedir-se a la seva immediata destrucció. [Reglament Seguretat.art.5.2]

En abandonar el lloc de treball (descansos, pausa menjar o fi de jornada laboral), l'usuari el deixarà completament lliure de documentació, usant a aquest efecte les calaixeres, arxivadors, armaris, etc.

Abans d'abandonar sales comunes o permetre que alguna persona aliena entre, es netejaran adequadament les pissarres de les sales de reunions o despatxos, anant amb compte que no quede cap mena d'informació sensible o que poguera ser reutilitzada. [Reglament Seguretat.art.5.5]

  1. Custòdia de claus i tancament de portes i armaris

L'usuari dels sistemes d'informació de la Universitat de València ha de mantenir correctament custodiades les claus d'accés als despatxos, calaixeres, armaris, així com qualsevol altre element que continga fitxers no automatitzats amb dades de caràcter personal, que hauran de ser tancats quan l'usuari s'absente temporalment d'aquesta ubicació, a fi d'evitar accessos no autoritzats.

  1. Atenció al públic

L'usuari dels sistemes d'informació, que atenga directament el públic, no podrà tindre cap mena d'informació sobre un altre client/usuari al seu abast.

  1. Emmagatzematge d'informació

Es prohibeix expressament l'ús de suports d'informació extraïbles (dispositius d'emmagatzematge USB, memòries flaix, etc..) amb dades confidencials o restringides de la Universitat de València sense l'autorització del responsable de la Unitat de Gestió. Es recomana com a procediment adequat a aquests fins l'ús d'espais de disc corporatiu. Qualsevol informació emmagatzemada en suports d'informació extraïble haurà de ser usada exclusivament per motius de treball, i la informació haurà d'eliminar-se o guardar-se en els llocs designats per a això. [Reglament Seguretat, art.6.1]

Respecte als fitxers no automatitzats, l'emmagatzematge es realitzarà en llocs que permeten el tancat amb clau o mecanismes que impedisquen la seva obertura, especialment al final de les Jornades laboral.

  1. Creació de fitxers i fitxers temporals

L'usuari dels sistemes d'informació de la Universitat de València no està autoritzat a crear nous fitxers al marge dels existents. Quan en el desenvolupament de les seves funcions, necessite de la creació d'un nou fitxer que continga dades de caràcter personal, haurà d'informar de manera prèvia al responsable de seguretat a fi d'autoritzar la creació i establir les normes aplicables a la seva implantació.

S'ha d'evitar l'emmagatzematge de còpia de les dades personals dels fitxers en arxius temporals.

Són fitxers temporals aquells en els quals s'emmagatzemen dades personals, generats per al compliment d'una necessitat determinada, sempre que la seva existència no siga superior a un mes.

En el cas que siga necessari realitzar aquestes còpies temporals s'haurà d'informar de manera prèvia al responsable de seguretat de dades a fi d'autoritzar la creació i establir les normes aplicables a la seva implantació.

Els fitxers temporals han de ser esborrats una vegada hagen deixat de ser necessaris per als fins que van motivar la seva creació i mentre estan vigents, hauran de ser emmagatzemats en la carpeta habilitada a aquest efecte pels administradors del sistema. Si transcorregut el mes l'usuari detecta la necessitat de continuar utilitzant la informació emmagatzemada en el fitxer, haurà de comunicar-ho al responsable de seguretat.

  1. Destrucció de dispositius o suports que continguin informació protegida

La destrucció de qualsevol mena de suport automatitzat (CD, DVD, disc dur, memòria USB, etc.) o manual (paper, cintes de vídeo, etc.) es realitzarà de manera que les dades que contenien no siguen recuperables i si és necessari a través dels procediments establerts. [Reglament Seguretat.art.5.6]

  1. Accés als sistemes de manera remota

L'accés remot (des de fora de la xarxa de la Universitat) als sistemes d'informació haurà de realitzar-se mitjançant una connexió segura. L'usuari aplicarà a l'equip que utilitzi les normes de seguretat contingudes en aquest apartat (veure Reglament de Seguretat) per als equips situats en llocs de la Universitat de València. [Reglament Seguretat.art.4.13]

Quan per a l'accés als sistemes d'informació no es puga garantir una connexió segura (HTTPS o similar) la comunicació s'haurà de realitzar a través de la connexió VPN de la Universitat de València (vpn.uv.es).

  1. Deure de confidencialitat

La informació continguda en els Sistemes d'Informació de la Universitat de València és de la seva exclusiva propietat; per tant, els usuaris han d'abstenir-se de comunicar, divulgar, distribuir o posar en coneixement o a l'abast de tercers (externs o interns no autoritzats) aquesta informació, excepte autorització expressa del Comitè de Gestió i Coordinació de la Seguretat de la Informació. [Reglament Seguretat.art.10.1]

Tot usuari (de la Universitat de València o de terceres organitzacions) que, en virtut de la seva activitat professional, poguera tindre accés a dades de caràcter personal, està obligat a guardar secret sobre aquests i a aplicar les mesures de seguretat previstes en el document de seguretat. Aquest deure es mantindrà de manera indefinida, fins i tot més enllà de la relació laboral o professional amb la Universitat de València.[Reglament Seguretat.art.10.2]

L'accés i les consultes a dades de caràcter personal seran les estrictament necessàries per a l'acompliment de tals funcions.

  1. Responsabilitat

Tots els usuaris dels sistemes d'informació sota l'abast de l'Esquema Nacional de Seguretat a la Universitat de València estan obligats a complir el Reglament de Seguretat de la informació en la utilització de mitjans electrònics de la Universitat de València. El seu incompliment generarà responsabilitat que se substanciarà conforme al procediment establert per a cada cas. [Reglament Seguretat.art.15]

L'incompliment de les indicacions enumerades en aquest document per part dels usuaris dels sistemes d'informació de la Universitat de València, podrà generar les mesures disciplinàries corresponents. [Estatuts de la Universitat de València, art.203,204], [Llei 10/2010, de 9 de juliol, d'ordenació i gestió de la Funció Pública Valenciana.art 138,139,140,141,142,143 i 144], [Llei de l'Estatut Bàsic de l'Empleat públic, art.93,94,95 i 96].