NORMA UNE EN 15713:2009


Destrucción segura del material confidencial.

Código de buenas prácticas.


PRÓLOGO

Esta Norma EN 15713:2009 ha sido elaborada por el Comité Técnico CEN/TC 263 - Almacenamiento se­guro de dinero, valores y soportes de datos, cuya Secretaría desempeña BSI.

Esta norma europea debe recibir el rango de norma nacional mediante la publicación de un texto idéntico a ella o mediante ratificación antes de finales de octubre de 2009, y todas las normas nacionales técnicamente divergentes deben anularse antes de finales de octubre de 2009.

Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento estén sujetos a derechos de patente. CEN y/o CENELEC no es(son) responsable(s) de la identificación de dichos derechos de patente.

De acuerdo con el Reglamento Interior de CEN/CENELEC, están obligados a adoptar esta norma europea los organismos de normalización de los siguientes países: Alemania, Austria, Bélgica, Bulgaria, Chipre, Dinamarca, Eslovaquia, Eslovenia, España, Estonia, Finlandia, Francia, Grecia, Hungría, Irlanda, Islandia, Italia, Letonia, Lituania, Luxemburgo, Malta, Noruega, Países Bajos, Polonia, Portugal, Reino Unido, República Checa, Rumanía, Suecia y Suiza.

1 OBJETO Y CAMPO DE APLICACIÓN

Esta norma proporciona recomendaciones para gestión y control de la destrucción de material de carácter confidencial, asegurando que dicho material se destruye de forma segura y sin peligro. Las recomendaciones son aplicables a las de­pendencias centrales de las compañías y cualquier otro lugar de custodia.


2 NORMAS PARA CONSULTA

Las normas que a continuación se indican son indispensables para la aplicación de esta norma. Para las referencias con fecha, solo se aplica la edición citada. Para las referencias sin fecha se aplica la ultima edición de la norma (incluyendo cualquier modificación de esta).

EN 50131-1 Sistemas de alarma. Sistemas de alarma contra intrusión y atraco. Parte I: Requisitos de! sistema.


3 TÉRMINOS Y DEFINICIONES

Para los fines de este documento, se aplican los términos y definiciones siguientes:

3.1 Compañía:
Organización proveedora de los servicios contratados para la gestión y control de la destrucción del material con carácter confidencial.

3.2 Cliente:
El propietario de un material de carácter confidencial que solicita los servicios de destrucción del mismo a una compa­ñía de acuerdo con un contrato suscrito entre ambas partes.

3.3 Lugar de custodia:
Lugar no destinado a la destrucción donde se custodia de forma segura el material de carácter confidencial previamente al traslado del mismo a las dependencias de la compañía.

3.4 Destrucción:
Reducción de! material a un tamaño tal, en la medida de lo posible, indescifrable, ilegible e irreconstruible.

NOTA Los métodos de destrucción incluyen triturado y desintegración.

3.5 Trituración:
Reducción mediante medios mecánicos, a un tamaño estipulado.

NOTA Véase el anexo A para medidas especificas de triturado y destrucción de material.

3.6 Desintegración:
Reducción por medios mecánicos a un tamaño estipulado menor que aquel alcanzable con los medios de triturado.

NOTA Véase el anexo A para medidas especificas de triturado y destrucción de material.

3.7 Encargado de tratamiento:
Cualquier persona (distinto del responsable del archivo o tratamiento) que procesa los datos por encargo del responsable del archivo o tratamiento.

3.8 Responsable del archivo o tratamiento:
Persona que (bien solo o conjuntamente con otros) determina el fin y la forma en la que cualquier información de carác­ter personal es o será procesada.



4 DEPENDENCIAS DE LA COMPAÑÍA

4.1 Instalaciones
La compañía debería contar con una oficina administrativa y/o un centro de operaciones donde deberían conservarse un re­gistro, documentos profesionales y de transacciones, certificados, correspondencia, archivos, etc... necesarios para llevar a cabo las transacciones mercantiles.

Las dependencias deberían separarse físicamente de cualquier otra actividad, comercial o de cualquier otro tipo llevada a cabo en el mismo emplazamiento.

4.2 Seguridad
Debería instalarse un sistema de alarma anti-intrusión conforme a la Norma EN 50131-1, monitorizado desde una cen­tral receptora de alarmas. El sistema debería controlar el procesado, almacenamiento y el área de oficina como mínimo, o en su caso deberían vigilarse las dependencias.

Debería instalarse un sistema de circuito cerrado de televisión (CCTV) con medios de grabación para la monitorización de las áreas de descarga, almacenamiento y procesado a excepción de los lugares de custodia. Las imágenes grabadas deberían guardarse durante un plazo mínimo de 31 días, excepto si se acuerda otro plazo con el cliente.

El acceso autorizado de visitantes a las áreas de operación debería ser objeto de supervisión por parte de un personal con antecedentes debidamente comprobados. Se debería denegar el acceso a las áreas de operaciones a todas aquellas personas que no estén autorizadas.


5 CONTRATO Y PISTA DE AUDITORIA

Debería suscribirse un contrato por escrito entre cliente y compañía que regulara todas las transacciones.

En el caso de procesado de datos de carácter personal llevado a cabo por un encargado de tratamiento por cuenta del responsable de archivo o tratamiento, este ultimo debería:

a) Seleccionar al encargado de tratamiento que ofrezca suficientes garantías en Io concerniente a las medidas de índole técnica y organizativa de seguridad reguladoras de! tratamiento a realizar; y

b) Llevar a cabo las acciones oportunas para asegurar el cumplimiento de las medidas anteriormente citadas.


6 SUBCONTRATACIÓN

Únicamente se deberían encargar tareas subcontratadas a aquellas compañías que cumplan con las recomendaciones de esta norma.

El cliente siempre debería ser informado de la utilización de una subcontrata para la destrucción segura de material de carácter confidencial.


7 COMPROBACIÓN DE SEGURIDAD DEL PERSONAL

Se deberían comprobar los antecedentes penales de todo aquel personal contratado en la industria de la destrucción de material de carácter confidencial, de acuerdo con la normativa nacional pertinente.

Todos los empleados deberían firmar un Compromiso de Confidencialidad antes de su contratación.



8 RECOGIDA DEL MATERIAL DE CARÁCTER CONFIDENCIAL

El material de carácter confidencial a recoger debería protegerse contra el acceso no autorizado desde el punto de reco­gida hasta la culminación del proceso de destrucción.

Cuando fuera posible, el material de carácter confidencial recogido debería almacenarse en contenedores de seguridad con un sellado de numero individualizado o con cerradura de seguridad.

La recogida debería realizarse por empleados debidamente entrenados y uniformados con identificación fotográfica.


9 RETENCIÓN DEL MATERIAL DE CARÁCTER CONFIDENCIAL

La destrucción del material de carácter confidencial debería tener lugar en el espacio de tiempo equivalente al horario de un día laboral, contándose este a partir del momento de llegada del material al centro de destrucción.


10 TRANSPORTE DEL MATERIAL DE CARÁCTER CONFIDENCIAL

10.1 Vehículos de recogida
Los vehículos deberían:

a) Ser rígidos o autoportantes o bien tener un contenedor de seguridad desmontable; en caso de vehículo de apertura lateral de cortina, el material de carácter confidencial debería transportarse en contenedores con sellado de seguridad.

b) Estar equipados con puertas sellables y/o con cerradura;

c) Poder comunicarse con la compañía bien por radio o por teléfono;

d) Estar equipados con un inmovilizador electromecánico o sistema de alarma;

e) Estar cerrados y asegurados y/o sellados durante el desplazamiento;

f) Estar inmovilizados o con alarma activada si no hay ningún empleado en ellos.

10.2 Vehículos de destrucción en el emplazamiento
El material de carácter confidencial no tratado no debería retirarse del domicilio del cliente y los vehículos deberían:

a) Ser rígidos o autoportantes;

b) Estar equipados con puertas sellables y/o con cerradura;

c) Poder comunicarse con la compañía bien por radio o por teléfono;

d) Estar siempre supervisados cuando el material no tratado se encuentre dentro de los mismos.


11 CATEGORÍAS DE MATERIAL DE CARÁCTER CONFIDENCIAL

El material de carácter confidencial debería clasificarse según la tabla 1.

El método de destrucción debería acordarse con el cliente y ser adecuado para cada clase de material para así imposibi­litar su lectura, ser ilegible e irreconstruible.

 - pngplo.png
12 ELIMINACION DEL PRODUCTO FINAL

Cuando sea posible, los productos finales consistentes en material reciclable, por ejemplo, papel, metal o plásticos debe­rían reciclarse.

Cuando el producto final no sea reciclable, debería tenerse en cuenta el impacto medioambiental, y la conveniencia de otros métodos de eliminación como, por ejemplo, la incineración.

NOTA Puede recuperarse energía de la incineración para producción energética.

La descarga en vertedero solo debería usarse cuando no sea posible otro método de eliminación de residuos.

 - asdfopadf.png