III. Otras disposiciones. MINISTERIO DE CULTURA. Bono Cultural Joven. (BOE-A-2024-10397)
Orden CLT/489/2024, de 21 de mayo, por la que se convoca el procedimiento de concurrencia para la selección de una entidad colaboradora para la facilitación y gestión de los medios de pago del programa de ayudas "Bono Cultural Joven".
29 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Núm. 125
Jueves 23 de mayo de 2024
Sec. III. Pág. 58950
No obstante, y previa notificación por escrito del Responsable del Tratamiento a la
finalización del encargo, el Responsable del Tratamiento podrá requerir al encargado
para que, en vez de la opción a), cumpla con la b) o c) siguientes:
b) Devolver al encargado que designe por escrito el responsable del tratamiento,
los datos de carácter personal y, si procede, los soportes donde consten, una vez
cumplida prestación. La devolución debe comportar el borrado total de los datos
existentes en los equipos informáticos utilizados por el encargado. No obstante, el
encargado puede conservar una copia, con los datos debidamente bloqueados, mientras
puedan derivarse responsabilidades de la ejecución de la prestación.
c) Destruir los datos, una vez cumplida la prestación. Una vez destruidos, el
encargado debe certificar su destrucción por escrito y previa petición, debe entregar el
certificado al responsable del tratamiento. No obstante, el encargado puede conservar
una copia, con los datos debidamente boqueados, mientras puedan derivarse
responsabilidades de la ejecución de la prestación.
Medidas de seguridad.
Los datos deben protegerse para evitar que dichos datos pierdan su razonable
confidencialidad, integridad y disponibilidad y de acuerdo con la catalogación del riesgo
según el anexo I del Real Decreto 311/2022, de 3 de mayo, por el que se regula el
Esquema Nacional de Seguridad y la evaluación de riesgos realizada. Se deben
implantar, al menos, las siguientes salvaguardas:
Privacidad desde el diseño y por defecto.
Tipo
Descripción
Salvaguardas
Ocultación o pseudonimización
(RGPD).
Los datos a comunicar se deben ofuscar.
Si aparece información del entorno de
producción, se disociarán los datos
identificativos.
Borrado de información.
Se deben establecer criterios concretos para eliminar los
datos.
Se deben definir criterios generales de borrado,
conforme a los plazos legales de conservación.
Seguridad en los requisitos, análisis
y diseño de aplicaciones
informáticas.
El modelo de datos debe incluir el mínimo número de
datos, la exposición de los datos debe predefinirse
teniendo en cuenta los requisitos de seguridad.
Análisis de PbDD.
Debe existir una lista de requisitos de seguridad.
Un informe debe relacionar los requisitos de
seguridad con las medidas de análisis
implantadas, y detectar mejoras.
Seguridad en la puesta en
producción de aplicaciones
informáticas.
Se debe garantizar que las aplicaciones informáticas
tienen controles de seguridad adecuados.
Evaluar que la aplicación tiene control de
accesos.
Controlar que las aplicaciones no sean
vulnerables al top 10 de OWASP.
Cancelación periódica / Expurgo.
El modelo de datos debe incluir el mínimo número de
datos, la exposición de los datos debe predefinirse
teniendo en cuenta los requisitos de seguridad.
Definir y aplicar criterios generales de
conservación de la información.
Definir procedimientos de expurgo de la
información aprobados, y conocidos, por la
Organización.
Auditar anualmente los procedimientos de
cancelación periódica y expurgo.
Valorar la contratación de un proveedor
certificado en procedimientos de destrucción
segura de información.
Finalidades debidas y no excesivas.
Las finalidades deben ser debidas y no excesivas.
Definir finalidades específicas.
Políticas de control de accesos.
Restringir el acceso a los datos bajo el principio de
necesidad de conocimiento.
Implementar controles de acceso a la
información.
cve: BOE-A-2024-10397
Verificable en https://www.boe.es
1.
Núm. 125
Jueves 23 de mayo de 2024
Sec. III. Pág. 58950
No obstante, y previa notificación por escrito del Responsable del Tratamiento a la
finalización del encargo, el Responsable del Tratamiento podrá requerir al encargado
para que, en vez de la opción a), cumpla con la b) o c) siguientes:
b) Devolver al encargado que designe por escrito el responsable del tratamiento,
los datos de carácter personal y, si procede, los soportes donde consten, una vez
cumplida prestación. La devolución debe comportar el borrado total de los datos
existentes en los equipos informáticos utilizados por el encargado. No obstante, el
encargado puede conservar una copia, con los datos debidamente bloqueados, mientras
puedan derivarse responsabilidades de la ejecución de la prestación.
c) Destruir los datos, una vez cumplida la prestación. Una vez destruidos, el
encargado debe certificar su destrucción por escrito y previa petición, debe entregar el
certificado al responsable del tratamiento. No obstante, el encargado puede conservar
una copia, con los datos debidamente boqueados, mientras puedan derivarse
responsabilidades de la ejecución de la prestación.
Medidas de seguridad.
Los datos deben protegerse para evitar que dichos datos pierdan su razonable
confidencialidad, integridad y disponibilidad y de acuerdo con la catalogación del riesgo
según el anexo I del Real Decreto 311/2022, de 3 de mayo, por el que se regula el
Esquema Nacional de Seguridad y la evaluación de riesgos realizada. Se deben
implantar, al menos, las siguientes salvaguardas:
Privacidad desde el diseño y por defecto.
Tipo
Descripción
Salvaguardas
Ocultación o pseudonimización
(RGPD).
Los datos a comunicar se deben ofuscar.
Si aparece información del entorno de
producción, se disociarán los datos
identificativos.
Borrado de información.
Se deben establecer criterios concretos para eliminar los
datos.
Se deben definir criterios generales de borrado,
conforme a los plazos legales de conservación.
Seguridad en los requisitos, análisis
y diseño de aplicaciones
informáticas.
El modelo de datos debe incluir el mínimo número de
datos, la exposición de los datos debe predefinirse
teniendo en cuenta los requisitos de seguridad.
Análisis de PbDD.
Debe existir una lista de requisitos de seguridad.
Un informe debe relacionar los requisitos de
seguridad con las medidas de análisis
implantadas, y detectar mejoras.
Seguridad en la puesta en
producción de aplicaciones
informáticas.
Se debe garantizar que las aplicaciones informáticas
tienen controles de seguridad adecuados.
Evaluar que la aplicación tiene control de
accesos.
Controlar que las aplicaciones no sean
vulnerables al top 10 de OWASP.
Cancelación periódica / Expurgo.
El modelo de datos debe incluir el mínimo número de
datos, la exposición de los datos debe predefinirse
teniendo en cuenta los requisitos de seguridad.
Definir y aplicar criterios generales de
conservación de la información.
Definir procedimientos de expurgo de la
información aprobados, y conocidos, por la
Organización.
Auditar anualmente los procedimientos de
cancelación periódica y expurgo.
Valorar la contratación de un proveedor
certificado en procedimientos de destrucción
segura de información.
Finalidades debidas y no excesivas.
Las finalidades deben ser debidas y no excesivas.
Definir finalidades específicas.
Políticas de control de accesos.
Restringir el acceso a los datos bajo el principio de
necesidad de conocimiento.
Implementar controles de acceso a la
información.
cve: BOE-A-2024-10397
Verificable en https://www.boe.es
1.
