Register Now

Login

Lost Password

Enter your email to reset your password.

BY Author

Política de gestión de identidades y control acceso lógico

VÍTALY dispone de una política específica de control de acceso lógico con el objetivo de asegurar un depurado sistema de identificación y autenticación en la plataforma de aplicaciones de prevención de riesgos laborales, tanto en el front-end del usuario como en la infraestructura interna de sistemas de información. La política es revisada y se basa en requisitos de los clientes y en otros aspectos que son direccionados por distintas vías, como por ejemplo las medidas de seguridad que la legislación sobre Protección de datos personales indica sobre este ámbito de seguridad y que desarrollamos a partir de nuestros procesos de análisis de riesgos. Para ello implementamos una serie de controles de acceso a los Sistemas:

  • El acceso a los sistemas de información de VÍTALY está protegido de acuerdo con las medidas de seguridad establecidas por las normas ISO 27001: 2022 y en el RD 311/2022 de 3 de mayo, que regula el Esquema Nacional de Seguridad.
  • Las cuentas son nominativas y únicas por usuario.
  • No hay cuentas genéricas.
  • Los derechos de acceso de cada recurso se establecen según las decisiones del responsable del usuario, asignándoles roles y perfiles.
  • Se realiza segregación de funciones.
  • Las cuentas de administrador son independientes de su cuenta de usuario y solo se pueden utilizar para fines administrativos de los Sistemas.
  • Las cuentas de Desarrollo o Tester son independientes de las cuentas de usuario y no tienen acceso al entorno productivo.
  • Se desactiva cualquier cuenta que no se utilice en 30 días.
  • Las credenciales se activan una vez que están bajo el control del usuario.
  • Las cuentas creadas por las aplicaciones para la ejecución de procesos (servicios/demonios) serán únicas para cada aplicación.
  • Se registran los accesos exitosos y no exitosos.
  • Política de contraseñas:
  • Las contraseñas de acceso están en BB.DD. encriptadas mediante hash.
  • Los usuarios no tienen permisos de administrador, por lo que no podrán acceder a los recursos del sistema.
  • No se permite el acceso a la red, a los sistemas, aplicaciones o información a ningún usuario que no esté formalmente autorizado para ello.
  • Las aplicaciones y sistemas registran en los logs cualquier actividad realizada por los usuarios: consulta, modificaciones, adiciones, eliminaciones, copias, etc. Se puede saber quién ha hecho algo y qué han hecho, y se controlan sus derechos de acceso.
  • Se realizan revisiones de derechos de acceso de forma Trimestral.
Posted by