Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de... Departamento de Informática Tributaria Seguridad de la Información en la AEAT El control del uso de la información tributaria
Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de...Departamento de Informática Tributaria
Seguridad de la Información en la AEATEl control del uso de la información tributaria
Seguridad de la Información en la AEATEl control del uso de la información tributaria
Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de...
Objetivos
Exponer el control del uso de la información tributaria gestionada por los sistemas de información de la AEAT de acuerdo a los criterios emanados de la Comisión de Seguridad y Control de Informática Tributaria
Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de...
ÍndiceÍndice
Sistema de Información Integrado de la AEAT
Seguridad de la Información en el ámbito de la AEAT
El control del uso de la información tributaria en los
sistemas de información de la AEAT
Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de...
Sistema de Información Integrado de la AEAT
Modelo de datos Base de Datos Centralizada
El SII gestiona:
• Todos los impuestos• Todos los contribuyentes• Todos los procedimientos
Esto permite:
• Control• Análisis y Estadísticas • Aprender y deducir
Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de...
Servicios que se ofrecen a través del SII
Servicios relacionados con la gestión tributaria
Servicios al ciudadano, colaboración social y administraciones publicas
Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de...
ÍndiceÍndice
Sistema de Información Integrado de la AEAT
Seguridad de la Información en el ámbito de la AEAT
El control del uso de la información tributaria en los
sistemas de información de la AEAT
Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de...
¿Por qué es importante la Seguridad en la AEAT?
Seguridad jurídica de los servicios ofrecidos
Utilización de las TIC asegurando la disponibilidad, el acceso, la integridad, la autenticidad, la confidencialidad y la conservación de los datos, informaciones y servicios que gestionen en el ejercicio de sus competencias
GENERAR CONFIANZA
Para ello debe garantizar la...
Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de...
Normativa estatal
• Art.18.4 de la Constitución Española
• La Ley 30/1992, de 26 de noviembre, de Régimen jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común (LRJPAC)
• La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD)
• El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
• El Real Decreto 263/1996, de 16 de febrero, por el que se regula la utilización de técnicas electrónicas, informáticas y telemáticas por la Administración General del Estado
• El Real Decreto 209/2003, de 21 de febrero, por el que se regulan los registros y las notificaciones telemáticas, así como la utilización de medios telemáticos para la sustitución de la aportación de certificados por parte del ciudadano
• La Ley 59/2003, de 19 de diciembre, de Firma Electrónica
• La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos
Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de...
Normativa tributaria
• Ley General Tributaria
• Real Decreto 1065/2007, de 27 de julio, por el que se aprueba el Reglamento General de las actuaciones y los procedimientos de gestión e inspección tributaria y de desarrollo de las normas comunes de los procedimientos de aplicación de los tributos
• Ley 1/1998 de 26 de febrero de Derechos y Garantías de los contribuyentes
• Ley 13/96 (limita los accesos)
• Orden HAC 1181/2003 por la que se establecen normas específicas en el uso de firma electrónica en las relaciones tributarias con la AEAT
• Resolución 24 de julio por la que se establece el procedimiento a seguir para la admisión de certificados usados en las relaciones tributarias de ámbito la AEAT
• Orden EHA 3256/2004 por la que se establecen los términos en los que podrán expedirse certificados electrónicos a las entidades sin personalidad jurídica a que se refiere el artículo 35.4 de la Ley General Tributaria
• Instrucción 5/2000, de 28 de julio, de la Dirección General de la Agencia Estatal de Administración Tributaria, sobre suministro de información tributaria a las administraciones públicas para el desarrollo de sus funciones, así como en los supuestos contemplados en las letras b), c) y d) del artículo 113.1 de la Ley General Tributaria
Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de...
Otros mecanismos utilizados para generar confianza
Divulgación de los servicios electrónicos en los medios de comunicación
Convenios de colaboración para la cesión de datos a las administraciones publicas
Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de...
Organización de la Seguridad en la AEAT
• Comisión de Seguridad y Control de Informática• Fija y mantiene actualizados de forma permanente los criterios y directrices
generales sobre seguridad de la información en el ámbito de las Tecnologías de la Información y las Comunicaciones.
• Fija y mantiene actualizados de forma permanente los criterios y directrices de acceso a información tributario por parte de otros organismos o entidades ajenas a la Agencia Tributaria.
• Y en general cualquier otra función de carácter general que tenga relación con la seguridad informática.
• Administradores de Seguridad• Personas especializadas en todos los temas que se comunican por la Comisión
y son responsables de velar por su realización y cumplimiento.
• Departamento de Informática Tributaria• Como responsable de todos los aspectos relacionados con las TIC es
responsable entre otros (Orden PRE/3581/2007) de los procedimientos operativos de seguridad de los sistemas de información, estableciendo las medidas de seguridad física y lógica y los criterios de acceso a las redes de
ordenadores, portátiles y otros dispositivos móviles.
• Dependencias Regionales de Informática Área Regional de Seguridad Informática
• Áreas específicas responsables de los aspectos técnicos relacionados con la seguridad informática.
Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de...
Gestión de la Seguridad de la información en la AEAT
El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto central sobre el que se construye ISO 27001 (Information technology - Security techniques - Information security management systems – Requirements) y se basa en que la gestión de la seguridad de la información debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización.El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer estas políticas y procedimientos en relación a los objetivos de negocio de la organización, con objeto de mantener un nivel de exposición siempre menor al nivel de riesgo que la propia organización ha decidido asumir.Con un SGSI, la organización conoce los riesgos a los que está sometida su información y los asume, minimiza, transfiere o controla mediante una sistemática definida, documentada y conocida por todos, que se revisa y mejora constantemente.
Otros estándares utilizados:• ISO/IEC 27002:2005, Information technology - Security tecniques – Code of practice for information security management (anterior ISO/IEC 17799:2005)• COBIT, Objetivos de control para tecnologías de la información y similares• ITIL, mejores prácticas en la gestión de servicios TI e incluye opciones que pueden ser adoptadas y adaptadas según necesidades, circunstancias y experiencia de cada proveedor de servicios.• Series CCN-STIC, del Centro Criptológico Nacional (perteneciente al Centro Nacional de Inteligencia) con normativa de seguridad de las TIC.• Serie 800 del NIST, distintos principios y prácticas en seguridad comunes y de aplicación tanto en agencias gubernamentales como en corporaciones privadas.
Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de...
Gestión de la Seguridad de la información en la AEAT
Políticas de SeguridadAnálisis de RiesgosPrograma de Seguridad
Políticas de SeguridadAnálisis de RiesgosPrograma de Seguridad
Implantar programa de seguridadConcienciación y Formación
Implantar programa de seguridadConcienciación y Formación
RecursosRecursos
Seguimiento y Análisis del estado de seguridadSeguimiento y Análisis del estado de seguridad
Detectar deficienciasAdoptar acciones correctivas y preventivas
Detectar deficienciasAdoptar acciones correctivas y preventivas
Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de...
Políticas de Seguridad de la Agencia Tributaria
Procedimientosde seguridad
Normasde seguridad
Política de Seguridad
Principios Estratégico
Táctico
Operativo
Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de...
Políticas de Seguridad de la Agencia Tributaria
Objetivos y directrices de Seguridad de la Información con el apoyo de toda la organización: Director General, Comité de Dirección y Comisión de Seguridad y Control de Informática Tributaria.
Norm
ativa
de
segu
ridad
Directrices de la
OrganizaciónLegis
lación
Misión de la Agencia
Tributaria
Política de Seguridad
Procedimientosde seguridad
Normasde seguridad
Política de Seguridad
Principios
La Dirección de la Agencia Tributaria da soporte a toda la Gestión de Seguridad de la Información
Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de...
Políticas de Seguridad de la Agencia Tributaria
Instrucción nº 2/1997, de 11 de febrero , de la Dirección General de la Agencia Estatal de Administración Tributaria, sobre control de accesos a las bases de datos de la Agencia
Instrucción nº 5 de 12 de septiembre de 2001, de la Dirección General de la Agencia Estatal de Administración Tributaria, por la que se implanta el documento de seguridad de los ficheros automatizados de carácter personal de la Agencia Tributaria
Instrucción 4/2004 de 16 de abril de 2004, de la Dirección General de la Agencia Estatal de Administración Tributaria por la que se modifica el capítulo séptimo, ordenadores personales, del documento de seguridad de los ficheros automatizados de carácter personal de la Agencia Tributaria aprobado por la Instrucción 5/2001 de 12 de septiembre
CDIT
Procedimientosde seguridad
Normasde seguridad
Política de Seguridad
Principios
Instrucción nº 2/1996, de 1 de febrero , de la Dirección General de la Agencia Estatal de Administración Tributaria, sobre accesos a las bases de datos y utilización de la información contenida en las mismas en la Agencia Estatal de
Administración Tributaria
Instrucción 2/2008 de la dirección general de la agencia tributaria, sobre la gestión y el control de soportes informáticos
Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de...
Documento de Seguridad
Procedimientosde seguridad
Normasde seguridad
Política de Seguridad
Principios
• Es de obligado cumplimiento para todo el personal de la Agencia• Los Directores y Delegados adoptaran las medidas necesarias para que
sea conocido• Estará a disposición de todo el personal
• La Comisión de Seguridad y control propondrá las medidas que
considere necesarias para el desarrollo o adecuación del texto
• Para todos los sistemas y ficheros• Para todo el personal de la AEAT• Para cualquier persona que acceda a la información
Ámbito
Políticas de Seguridad de la Agencia Tributaria
Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de...
Plan de Seguridad de la Agencia Tributaria
Seguridad organizativa
Seguridad física Seguridad lógica
Las Políticas de Seguridad de la Información y su revisión, la estrategia de la organización, el análisis de riesgos y la monitorización del estado de seguridad son el motor de iniciativas que se concretan en proyectos para la implantación de nuevas medidas de seguridad lógicas, físicas y organizativas o la revisión de las ya implantadas. Este conjunto de iniciativas conforman el Plan de Seguridad de la Información de la Agencia Tributaria.
Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de...
Medidas de Seguridad de la AEAT
Seguridad organizativa
Seguridad física Seguridad lógica
Seguridad de los servicios
Seguridad de los sistemas de información
Seguridad del entorno de trabajo del empleado público
Otros servicios de seguridad
Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de...
Seguridad de los sistemas de información de la AEAT
Visión lógica de la infraestructura de la AEAT
DA
TO
S
SERVICIOS ELECTRÓNICOS DE
LA OFICINA VIRTUAL
SALIDA CORPORATIVA
INTERNET
CICS Web Server 3270
INFORMACIÓN PÚBLICA
PÁGINA WEB DE LA AEAT
INTRANET DE LA AEAT
Servicios de red, Aplicaciones Entornos no HOST (Abiertos)
y puestos de trabajo
APP2
APP4
EXTE2 EXTE3 PROI1 ORELLANA CITRIX
ADABAS DB2
APP1
AP
LIC
AC
IÓNCORREO CORPORATIVO
PR
ES
EN
TA
CIÓ
N
ORACLE
VIGNETTE
ADMINISTRACIÓN PARTE PÚBLICA
PÁGINA WEB AEAT
INTERNET
EXTRANET DE LA AEATUnión EuropeaRed TEAsAccesos Remotos de la AEAT (RTC, GPRS/UMTS) Intranet AdministrativaOtros organismosEmpresas de servicios
MOVILIDAD CITRIX
BBDD TAIFF
Infraestructura TAIFF
DA
TO
S
ACCESO VPN AEAT
TERMINADOR TÚNELES VPN
Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de...
ÍndiceÍndice
Sistema de Información Integrado de la AEAT
Seguridad de la Información en el ámbito de la AEAT
El control del uso de la información tributaria en los
sistemas de información de la AEAT
Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de...
¿Por qué es necesario el control del uso de la información tributaria gestionada por los sistemas de información de la
AEAT?
La información es uno de los principales activos de la Agencia Tributaria
Legislación de protección de datos de carácter personal
Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de...
Normativa Tributaria
Ley General Tributaria (artículo 95)
“1. Los datos, informes o antecedentes obtenidos por la Administración Tributaria en el desempeño de sus funciones tienen carácter reservado y sólo podrán ser utilizados para la efectiva aplicación de los tributos o recursos cuya gestión tenga encomendada y para la imposición de las sanciones que procedan, sin que pueden ser cedidos o comunicados a terceros, salvo que la cesión tenga por objeto: …
3. La Administración tributaria adoptará las medidas necesarias para garantizar la confidencialidad de la información tributaria y su uso adecuado.
Cuantas autoridades y funcionarios tengan conocimientos de estos datos, informes o antecedentes estarán obligados al mas estricto y completo sigilo respecto de ellos,…”
Ley 13/1996, de 30 de diciembre. Disposición adicional octava
“El acceso a los datos, informes o antecedentes obtenidos por las Administraciones Tributarias y por parte de un funcionario público para fines distintos de las funciones que le son propias, se considerará siempre falta grave.…”
Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de...
¿Cómo se consigue el control?
Limitando la información que se puede acceder
Controlando los accesos realizados
Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de...
Limitando la información que se puede accederAutorizaciones
• Cada uno de los Departamentos definirá, en función de las tareas desarrolladas y la organización del trabajo, la relación de autorizaciones necesarias para el personal de ellos dependiente que dará lugar a perfiles de tipo general
• Estos perfiles serán abiertos, pudiéndose añadir o suprimir autorizaciones para un usuario concreto
• La Comisión de Seguridad y Control define los criterios de seguridad y las autorizaciones necesarias para el personal de estos organismos o entidades de acuerdo a los convenios firmados, la legislación tributaria y otra legislación como la de protección de datos de carácter personal.• Los convenios de colaboración recogen cláusulas específicas relacionas con aspectos de seguridad y mecanismos de control.
Comunicación de datos a otros organismos o entidades ajenas a la Agencia Tributaria
Autorizaciones a empleados públicos de la AEAT
Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de...
Control del uso de la información tributaria en los sistemas de información de la AEAT
Actores que intervienen
• Recursos humanos Punto de entrada de datos de usuario
• Autorizadores Gestiona sus usuarios y asigna autorizaciones (Subdirector General, Jefes de Unidades Centrales, Jefes de Dependencia, Administradores, Administrador de Seguridad)
• Comisión de Seguridad y Control Establece criterios
• Controladores Encargados de realizar el control (auditoría) de los accesos realizados por los usuarios a la información de la Agencia Tributaria.
• Administrador de Usuario Único Responsables de la Administración y gestión de la herramienta de Gestión de Usuarios.
• Administrador de Seguridad Garantiza que se aplican las directrices establecidas para la gestión de usuarios.
Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de...
Mecanismos de seguridad para el control del uso de la información tributaria en los sistemas de información de la AEAT
• Identificación• Autorización• Autenticación• Rastros • Auditoría posterior de los mismos
• Identidad única: Gestión de usuarios Herramienta de Usuario Único• Autorizaciones: Puntos de control y Gestión autorizaciones Herramienta de Usuario Único• Identificación y Autenticación:
•Usuario único y contraseña•Validados por RACF (Entorno HOST), Directorio Activo (Entorno no HOST)•Para acceder a las aplicaciones ofrecidas en el portal de la Intranet también se utiliza el certificado electrónico de la INTRANET de la AEAT del usuario.
• Rastros: Instrucción 2/97 y Documento de Seguridad y cada aplicación debe dejar los rastros de acceso a las Bases de Datos de la AEAT• Auditoría posterior de los mismos: Herramienta Controla
Control de acceso en la AEAT
F0099809:
El concepto de control de acceso hace referencia a todo el proceso que abarca la gestión de usuarios, y la identificación y autenticación, gestión de las autorizaciones, el registro de accesos y su análisis.
F0099809:
El concepto de control de acceso hace referencia a todo el proceso que abarca la gestión de usuarios, y la identificación y autenticación, gestión de las autorizaciones, el registro de accesos y su análisis.
Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de...
Control del uso de la información tributariaInfraestructura de gestión de usuarios, autorizaciones y la
identificación y autenticación de los usuarios
USUARIOS
BD USUARIO
ÚNICO
RACF
DIRECTORIO ACTIVO
DOMINO
PROVISIÓN DE USUARIOS Y GESTIÓN DE AUTORIZACIONES
IDENTIFICACIÓN Y AUTENTICACIÓN DE USUARIOS
Entorno HOST
Entorno REDES
GESTIÓN DE USUARIOS, AUTORIZACIONES, LA IDENTIFICACIÓN Y AUTENTICACIÓN DE LOS USUARIOS
PKI Intranet AEAT
Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de...
Control del uso de la información tributariaFuncionalidades de la herramienta de Gestión de Usuarios
Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de...
Gestión de usuarios y autorizacionesEntrada de un nuevo empleado en la Agencia Tributaria
USUARIOS
BD USUARIO
ÚNICO
RACF
DIRECTORIO ACTIVO
DOMINO
PROVISIÓN DE USUARIOS Y GESTIÓN DE AUTORIZACIONES
IDENTIFICACIÓN Y AUTENTICACIÓN DE USUARIOS
Entorno HOST
Entorno REDES
RRHH
BD RRHH
BD CONSOLIDACIÓN
BBDD CONSOLIDACIÓN
DATOS EMPLEADOS PÚBLICOS
BBDD DATOS EMPLEADOS
PÚBLICOS
RRHH
1 2 3
4
Nuevo empleado público
GESTIÓN DE LA IDENTIFICACIÓN Y AUTENTICACIÓN DE LA AEAT
PKI Intranet AEAT
Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de...
Gestión de usuarios y autorizacionesAlta de usuario en la herramienta de gestión de usuarios
GESTIÓN DE LA IDENTIFICACIÓN Y AUTENTICACIÓN DE LA AEAT
Autorizador USUARIOS
BD USUARIO
ÚNICO
DOMINO
DIRECTORIO ACTIVO
RACF
PROVISIÓN DE USUARIOS Y GESTIÓN DE AUTORIZACIONES
IDENTIFICACIÓN Y AUTENTICACIÓN DE USUARIOS
Entorno HOST
Entorno REDES
1
Administrador de seguridad
Usuario
3
5
Usuario
Usuario Único
BD RRHH BD IDEN
2
PKI Intranet AEAT4
Nuevo empleado público
Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de...
Gestión de usuarios y autorizacionesGestión de autorizaciones de un usuario
GESTIÓN DE LA IDENTIFICACIÓN Y AUTENTICACIÓN DE LA AEAT
Autorizador USUARIOS
BD USUARIO
ÚNICODIRECTORIO ACTIVO
PROVISIÓN DE USUARIOS Y GESTIÓN DE AUTORIZACIONES
IDENTIFICACIÓN Y AUTENTICACIÓN DE USUARIOS
Entorno REDES
1
Administrador de seguridad
Usuario
Usuario
Usuario Único
DOMINO
RACFEntorno HOST
PKI Intranet AEAT
Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de...
Gestión de usuarios y autorizacionesBaja de un usuario en la herramienta de gestión de usuarios
GESTIÓN DE LA IDENTIFICACIÓN Y AUTENTICACIÓN DE LA AEAT
Autorizador USUARIOS
BD USUARIO
ÚNICODIRECTORIO ACTIVO
PROVISIÓN DE USUARIOS Y GESTIÓN DE AUTORIZACIONES
IDENTIFICACIÓN Y AUTENTICACIÓN DE USUARIOS
Entorno REDES
1
Administrador de seguridad
Usuario
2
Usuario
Usuario Único
DOMINO
RACFEntorno HOST
PKI Intranet AEAT
Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de...
Identificación y autenticaciónSincronización entre entornos de usuarios
DOMINO
RACF
Entorno HOST
GESTIÓN DE LA IDENTIFICACIÓN Y AUTENTICACIÓN DE LA AEAT
USUARIOS
BD USUARIO
ÚNICODIRECTORIO ACTIVO
PROVISIÓN DE USUARIOS Y GESTIÓN DE AUTORIZACIONES
IDENTIFICACIÓN Y AUTENTICACIÓN DE USUARIOS
Entorno REDES
3
1
PKI Intranet AEAT
2
Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de...
Identificación y autenticaciónSincronización de contraseñas
DOMINO
RACF Entorno HOST
GESTIÓN DE LA IDENTIFICACIÓN Y AUTENTICACIÓN DE LA AEAT
USUARIOS
BD USUARIO
ÚNICO
DIRECTORIO ACTIVO
PROVISIÓN DE USUARIOS Y GESTIÓN DE AUTORIZACIONES
IDENTIFICACIÓN Y AUTENTICACIÓN DE USUARIOS
Entorno REDES
1
PKI Intranet AEAT
Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de...
Identificación y autenticaciónIdentificación y autenticación de aplicaciones de la Intranet
DOMINO
RACF Entorno HOST
GESTIÓN DE LA IDENTIFICACIÓN Y AUTENTICACIÓN DE LA AEAT
USUARIOS
BD USUARIO
ÚNICODIRECTORIO ACTIVO
PROVISIÓN DE USUARIOS Y GESTIÓN DE AUTORIZACIONES
IDENTIFICACIÓN Y AUTENTICACIÓN DE USUARIOS
Entorno REDES
PC del usuario UsuarioA
PP
1
AP
P2
AP
P4
DB2ADABAS
En
torn
o e
jecu
ció
n
apli
caci
on
es
neg
oci
o
En
torn
o p
rese
nta
ció
n
apli
caci
on
es
neg
oci
o
CICSWEB
SERVER
PKI Intranet AEAT
BD Certificados PKI Intranet
Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de...
Control de los accesos realizados Herramienta controla
Deberán ser objeto de control todos los accesos que se produzcan a las bases de datos de la AEAT, excepto a las aplicaciones de tipo estadístico que no contengan datos de carácter personal
Cada aplicación incorpora una rutina que registra todos los accesos a datos personales
Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de...
Control de los accesos realizados¿Qué datos se registran?
En cuanto al usuario:• Código de usuario que accede, con indicación de los apellidos y nombre del
mismo
En cuanto al acceso:• Fecha, hora y minuto del acceso• Apellidos y nombre o razón social y NIF de la persona a la que se refiera la consulta• Dato visualizado• Si se trata de una relación de contribuyentes, deberá registrarse un acceso por cada uno de los contribuyentes visualizados• El tipo de operación realizada• Justificación
Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de...
El control de accesos se efectuará, con carácter general, quincenalmente
Control de los accesos realizadosPeriodicidad del control
Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de...
Aplicación informática que, procede a seleccionar los accesos a las bases de datos que deberán ser objeto de justificación expresa teniendo en cuenta si los accesos son coherentes con el trabajo del usuario
La aplicación informática registrará la ejecución de la auditoría de los accesos
Control de los accesos realizadosCaracterísticas del control
Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de...
• Sólo un porcentaje de los realizados• Son seleccionados automáticamente por la
aplicación Controla• Se seleccionan los mas “sospechosos”en función
de unos filtros definidos por la Comisión de Seguridad
• Relaciones económicas o familiares
Control de los accesos realizados¿Qué accesos selecciona la herramienta Controla?
Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de...
• Los usuarios deberán justificar los accesos por escrito dentro de los 15 días siguientes a la recepción de la comunicación en que se pide la justificación del acceso.
• Cualquier resistencia, negativa u obstrucción por parte del usuario a la justificación de los accesos, así como cualquier otra anomalía, se comunicará de forma inmediata al Administrador de Seguridad
Control de los accesos realizadosJustificación de los accesos
Departamento/ Servicio de …,Delegación Especial /Delegación de…, Administración de...
www.agenciatributaria.es