NÚMERO 37

10505

Jueves 22 de febrero de 2024

J) Protección del equipamiento informático.
En todo aquel equipamiento informático propiedad del encargado en el cual se almacene,
procese o desde el que se acceda a información del responsable, el encargado deberá
aplicar las medidas de seguridad necesarias para garantizar la confidencialidad, integridad
y disponibilidad de dicha información. Al menos, el encargado debe aplicar las siguientes
medidas de seguridad:
• Protección contra código malicioso: todos los equipos deben contar con programas antivirus y de protección ante software malicioso (malware) actualizados de forma automática y permanente.
• Control de acceso: todos los equipos deben disponer de medidas que aseguren el acceso
sólo por parte del personal autorizado.
• Bloqueo de terminales: no deben dejarse los terminales desatendidos sin antes haber
bloqueado la sesión de usuario con el fin de evitar accesos no autorizados. El bloqueo
automático tras un periodo de inactividad también debe estar activado.
• Actualización de sistemas: todo el equipamiento informático debe estar al día con las
últimas actualizaciones y parches de seguridad disponibles.
• Salvaguarda de la información: se han de implementar mecanismos de copia de seguridad y recuperación en aquella información del responsable.
• Privilegios: los usuarios no deben poder deshabilitar o desinstalar las protecciones de
seguridad implantadas en los equipos.
El responsable se reserva el derecho de exigir la implantación de las medidas de seguridad
adicionales que considere oportunas en el equipamiento informático del encargado.
K) Seguridad en las instalaciones del encargado.
En aquellas instalaciones, donde se almacene o procese información del responsable, el
encargado del tratamiento deberá implementar medidas de seguridad física, ambiental y
de control de acceso, y todo su personal deberá participar activamente en la implantación
y cumplimiento de estas medidas.

•••