INFORME
Junta de Arbitraje de Rentar : Política sobre Tecnología de Vigilancia con Cámaras de Seguridad
Committee on Information Technology (COIT)FECHAS DE Revisar DE LA REUNIÓN PÚBLICA
Fecha(s) de la reunión de COIT: 18 de marzo de 2021
Fecha de aprobación de la Junta de Supervisores: 4 de agosto de 2021
La Ciudad y el Condado de San Francisco valoran la privacidad y la protección de los derechos civiles y las libertades civiles de los residentes de San Francisco . De conformidad con el Código Administrativo de San Francisco, Sección 19B, la Política de Tecnología de Vigilancia tiene como objetivo garantizar el uso responsable del Sistema de Cámaras de Seguridad del Departamento, así como de los datos asociados, y la protección de los ciudadanos que Visitar La Junta del Control de Rentas y de todos los empleados de dicha La Junta del Control de Rentas.
PROPÓSITO Y ALCANCE
La Política de Tecnología de Vigilancia ("Política") define la manera en que se utilizará el Sistema de Cámaras de Seguridad (fijo o móvil) para apoyar las operaciones del Departamentos .
Esta política se aplica a todo el personal del Departamentos que utilice, planee utilizar o planee proteger los sistemas de cámaras de seguridad, incluidos empleados, contratistas y voluntarios. Los empleados, consultores, voluntarios y proveedores que trabajen en nombre de la ciudad con el Departamentos están obligados a cumplir con esta política.
DECLARACIÓN DE POLÍTICA
Los departamentos municipales limitarán el uso de cámaras de seguridad a los siguientes casos de uso autorizados y requisitos enumerados en esta Política.
Usos autorizados:
- Vigilancia; seguimiento; observación; supervisión; monitoreo (por aparatos) en vivo.
- Grabación de vídeo e imágenes.
- Revisión de las grabaciones de las cámaras de seguridad en caso de incidente.
- Proporcionar grabaciones de vídeo/imágenes a las fuerzas policiales u otras personas autorizadas tras un incidente o cuando se les solicite.
Entre los casos de uso prohibidos se incluyen todos aquellos usos no especificados en la sección de Casos de Uso Autorizados.
Los departamentos solo podrán utilizar la información recopilada por las cámaras de seguridad para fines legalmente autorizados y no podrán usarla para discriminar ilegalmente a las personas por motivos de raza, etnia, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, género, identad de género, discapacidad, orientación sexual , ni por datos genéticos o biométricos. Asimismo, los Departamentos no podrán utilizar sistemas automatizados para analizar las grabaciones e identificar a las personas en función de ninguna de las categorías mencionadas en la frase anterior.
Todos los datos recopilados por las cámaras de vigilancia son propiedad exclusiva de la Ciudad y el Condado de San Francisco. Bajo ninguna circunstancia se venderán los datos recopilados a ninguna otra entidad.
JUSTIFICACIÓN COMERCIAL
En apoyo a las operaciones del Departamentos , las cámaras de seguridad prometen ayudar con:
| Sí o no | Beneficio | Descripción |
norte | Educación | N / A |
norte | Desarrollo comunitario | N / A |
Y | Salud | Garantizar la seguridad del personal, los clientes y las instalaciones, al tiempo que se promueve un ambiente abierto y acogedor. |
norte | Ambiente | N / A |
Y | Justicia penal | Revisar las grabaciones de vídeo tras un incidente de seguridad; proporcionar pruebas de vídeo a las fuerzas policiales o al público cuando así lo solicite un procedimiento formal, una orden judicial o una citación. |
norte | Empleos | N / A |
norte | Alojamiento | N / A |
Y | Otro | Mejor gestión de los activos de la ciudad mediante la evaluación remota de su estado. Mejora del conocimiento general de la situación. |
Además, se obtienen los siguientes beneficios:
| Sí o no | Beneficio | Descripción |
|---|---|---|
Y | Ahorros financieros | Los sistemas de cámaras de seguridad del Departamentos permitirán ahorrar en personal de vigilancia o de mantenimiento del edificio. |
Y | Ahorro de tiempo | Los sistemas de cámaras de seguridad del Departamentos funcionarán las 24 horas del día, los 7 días de la semana, lo que reducirá o eliminará la necesidad de supervisión por parte de los agentes de seguridad o de patrulla. |
Y | Seguridad del personal | Las cámaras de seguridad ayudan a identificar infracciones del Código de Conducta de los Empleados Municipales, las Normas y Reglamentos de Construcción, y las leyes municipales, estatales y federal , y brindan la garantía de que se prioriza la seguridad del personal y que esta estará protegida en su lugar de trabajo. |
Y | Calidad de los datos | Las cámaras de seguridad funcionan las 24 horas del día, los 7 días de la semana, los 365 días del año, por lo que no se requiere personal a tiempo completo para Revisar posteriormente las grabaciones de los incidentes de seguridad. La resolución de los datos se puede configurar por niveles y actualmente está configurada en alta resolución. |
Y | Niveles de servicio | Las cámaras de seguridad mejorarán la eficacia de la respuesta ante incidentes y darán como resultado un mejor nivel de servicio. |
REQUISITOS DE LA POLÍTICA
Esta Política define los procesos responsables de gestión de datos y las salvaguardias legalmente exigibles que el Departamentos requiere para garantizar la transparencia, la supervisión y la rendición de cuentas. El uso que el Departamentos haga de la tecnología de vigilancia y de la información recopilada, conservada, procesada o compartida mediante dicha tecnología debe ser coherente con esta Política; debe cumplir con todas las leyes y reglamentos municipales, estatales y federal ; y debe proteger todas las garantías constitucionales estatales y federal .
Especificaciones: El software y/o firmware utilizado para el funcionamiento de la tecnología de vigilancia debe estar actualizado y recibir mantenimiento.
Recopilación de datos
El Departamentos solo recopilará los datos necesarios para ejecutar los casos de uso autorizados. Todos los datos recopilados por la tecnología de vigilancia, incluidos los datos de identificación personal, se clasificarán de acuerdo con el Estándar de Clasificación de Datos de la Ciudad.
La tecnología de vigilancia recopila algunos o todos los siguientes tipos de datos:
| Tipo(s) de datos | Formato(s) | Clasificación |
|---|---|---|
Vídeos e imágenes | MP4, AVI, MPEG | Nivel 3 |
Fecha y hora | MP4 u otro formato | Nivel 3 |
datos de geolocalización | TXT, CSV, DOCX | Nivel 3 |
Notificación
Los departamentos deberán notificar al público sobre el uso previsto de tecnología de vigilancia en el lugar de las operaciones mediante señalización en áreas públicas fácilmente visibles. Las notificaciones de los Departamentos deberán identificar el tipo de tecnología que se utilizará y el propósito de dicha recopilación.
El Departamentos incluye los siguientes puntos en su aviso público:
| Sí o no | Categoría incluida |
|---|---|
Y | Información sobre la tecnología de vigilancia |
Y | Descripción del uso autorizado |
norte | Tipo de datos recopilados |
norte | retención de datos |
Y | Identificación del Departamentos |
Y | Información del contacto |
norte | Personas identificadas individualmente |
Acceso
Antes de acceder a los datos o utilizarlos, las personas autorizadas reciben formación sobre el acceso y el funcionamiento del sistema, así como instrucciones sobre los usos autorizados y prohibidos.
El acceso a las transmisiones en directo y a las grabaciones está restringido a personal específicamente capacitado. El acceso a las grabaciones solo se produce en respuesta a incidente.
En el Apéndice A encontrará información detallada sobre el personal del Departamentos y el acceso específico.
Seguridad de los datos
El Departamentos deberá proteger la información de identificación personal contra el procesamiento o la divulgación no autorizados o ilícitos; el acceso, la manipulación o el uso indebido no justificados; y la pérdida, destrucción o daño accidentales. Los datos de tecnología de vigilancia recopilados y conservados por el Departamentos deberán estar protegidos por las salvaguardas apropiadas para su(s) nivel(es) de clasificación, según lo definido por el marco de seguridad 800-53 del Instituto Nacional de Estándares y Tecnología (NIST), o requisitos equivalentes de otros marcos importantes de ciberseguridad seleccionados por el Departamentos.
El Departamentos deberá, como mínimo, aplicar las siguientes medidas de seguridad para proteger la información de la tecnología de vigilancia contra el acceso y control no autorizados, incluido el uso indebido:
- Cifrado: Los datos que conserve el Departamentos estarán cifrados. El Departamentos podrá conservar los datos sin procesar únicamente para el caso autorizado de compartirlos con las fuerzas policiales o el público.
- Almacenamiento: Cualquier uso de un proveedor de servicios externo debe cumplir con los requisitos de ciberseguridad de la ciudad.
- Auditorías: El Departamentos mantendrá un registro de acceso a los datos de todas las cámaras de seguridad que se procesen y utilicen. Este registro incluirá, entre otros, los siguientes datos: fecha y hora de obtención/recopilación original de los datos, motivos/uso previsto de los datos, Departamentos que los solicitó, fecha y hora de acceso a los datos sin procesar, resultado del procesamiento de los datos y fecha de entrega de los datos procesados a los usuarios.
Intercambio de datos
En el caso de datos compartidos interna y externamente, el destinatario no deberá acceder a ellos, utilizarlos ni procesarlos de forma incompatible con los casos de uso autorizados establecidos en esta Política. El Departamentos procurará garantizar que otros organismos o departamentos que reciban datos recopilados por sus propios sistemas de cámaras de seguridad actúen de conformidad con esta Política de Tecnología de Vigilancia.
El Departamentos deberá garantizar que se implementen las salvaguardas administrativas, técnicas y físicas adecuadas antes de compartir datos con otros departamentos del CCSF, entidades gubernamentales externas y proveedores o vendedores externos.
Cada Departamentos que crea que otra Agencias o Departamentos recibe o puede recibir datos recopilados mediante el uso de cámaras de seguridad debe consultar con el Fiscal Municipal Adjunto asignado con respecto a su respuesta.
Antes de compartir datos con cualquier destinatario, el Departamentos utilizará el siguiente procedimiento para garantizar que se apliquen las medidas de protección de datos adecuadas:
- Confirme que el propósito del intercambio de datos se ajusta a la misión del departamento.
- Considere métodos alternativos, además de compartir datos, que puedan lograr el mismo propósito.
- Eliminar nombres, borrar rostros y asegurarse de que se elimine toda la información personal identificable de acuerdo con las políticas de datos del departamento.
- Revisar de todas las medidas de seguridad existentes para garantizar que el intercambio de datos no aumente el riesgo de posibles repercusiones en los derechos y libertades civiles de los residentes.
- Evaluación de qué datos pueden compartirse lícitamente con el público en caso de que se presente una solicitud de conformidad con la Ordenanza de Transparencia de San Francisco.
- Garantizar que los datos se compartan de forma rentable y se exporten en un formato limpio y legible por máquina.
El Departamentos cumplirá con la Ley de Registros Públicos de California, la Ordenanza de Transparencia de San Francisco , los requisitos de las Constituciones federal y estatal, y las leyes y normas de procedimiento civil federal y estatales.
El Departamentos podrá compartir las grabaciones de las cámaras de seguridad con las siguientes entidades:
A. Intercambio interno de datos:
En caso de incidente, las imágenes de las cámaras de seguridad podrán transmitirse en directo o compartirse por métodos alternativos con las siguientes agencias:
- Dentro del Departamentos operativo
- Policía
- Fiscal de la ciudad
- Fiscal de distrito
- Alguacil
- A petición tras un incidente
El intercambio de datos se produce con la siguiente frecuencia:
- Según sea necesario
B. Intercambio de datos externos:
- Otras agencias fuerzas policiales locales
El intercambio de datos se produce con la siguiente frecuencia:
- Según sea necesario
Retención de datos
El Departamentos podrá almacenar y conservar datos personales sin procesar únicamente durante el tiempo necesario para cumplir con un propósito lícito y autorizado. Las normas de retención de datos del Departamentos deberán ajustarse a la forma en que el Departamentos prepara sus registros financieros y ser coherentes con las secciones pertinentes de la Agencias Federal para el Manejo de Emergencias (FEMA) o de la Oficina de Servicios de Emergencia de California (Cal OES).
El período de retención de datos del Departamento y su justificación son los siguientes:
- Los datos de las cámaras de seguridad se almacenarán durante un (1) año para que el personal autorizado pueda acceder a ellos por necesidad operativa y para consulta inmediata. Si los datos están asociados a un incidente, podrán conservarse durante un período superior al período de retención estándar.
- Justificación: Este período de retención se ajusta al espacio de almacenamiento disponible en el sistema del servidor y permite tiempo suficiente para que el personal de seguridad Revisar las grabaciones relacionadas con incidentes de seguridad y/o solicitudes externas de registros.
Los datos pueden almacenarse en la siguiente ubicación:
| Sí o no | Tipo de almacenamiento |
Y | Almacenamiento local (por ejemplo, servidor local, red de área de almacenamiento (SAN), almacenamiento conectado a la red (NAS), cintas de respaldo, etc.) |
Y | Centro de datos del Departamentos de Tecnología |
Y | Producto de software como servicio |
Y | Proveedor de almacenamiento en la nube |
Eliminación de datos
Una vez finalizado el período de retención de datos, el Departamentos deberá eliminar los datos de la siguiente manera:
- Sobrescritura automática de todos los archivos existentes cuando finaliza el período de retención de datos estándar. Esto puede adoptar la forma de una eliminación/formateo, borrado, sobrescritura de datos existentes o desmagnetización.
Capacitación
Para reducir la posibilidad de que la tecnología de vigilancia o los datos asociados a ella se utilicen indebidamente o de forma contraria a su uso autorizado, todas las personas que requieran acceso deben recibir formación sobre las políticas y los procedimientos de seguridad de los datos.
- Capacitación anual en ciberseguridad (enlace a la política de COIT)
CUMPLIMENTO CONFORMIDA
Cumplimento conformida del Departamentos
El Departamentos supervisará y velará por el cumplimento conformida de esta Política de acuerdo con el memorando de entendimiento correspondiente de los empleados y su respectivo convenio colectivo.
Si se alega que un Departamentos ha violado la Ordenanza según el Capítulo 19B del Código Administrativo de San Francisco , el Departamentos deberá publicar un aviso en su sitio web que describa de manera general cualquier medida correctiva tomada para abordar dicha alegación.
El Departamentos está sujeto a los procedimientos de cumplimiento, tal como se describe en la Sección 19B.8 del Código Administrativo de San Francisco .
DEFINICIONES
- Información de identificación personal: Información que puede utilizarse para distinguir o rastrear la identidad de un individuo, ya sea sola o combinada con otra información personal o de identificación que esté vinculada o pueda vincularse a un individuo específico.
- Datos sensibles: Datos cuya divulgación está prevista solo para quienes necesiten conocerlos. Datos regulados por leyes o normativas de privacidad, o restringidos por un Agencias regulador, un contrato, una subvención u otros términos y condiciones de acuerdo.
AUTORIZACIÓN
La Sección 19B.4 del Código Administrativo de la Ciudad establece: "Es política de la Junta de Supervisores aprobar una ordenanza sobre Política de Tecnología de Vigilancia solo si determina que los beneficios que autoriza dicha ordenanza superan sus costos, que la ordenanza salvaguardará las libertades civiles y los derechos civiles, y que los usos y despliegues de la Tecnología de Vigilancia bajo la ordenanza no se basarán en factores discriminatorios o basados en puntos de vista ni tendrán un impacto; efecto desproporcionado en ninguna comunidad o Clase Protegida".
Apéndice A: Respuestas específicas de Departamentos
1. Una descripción del producto, incluyendo el proveedor y la ubicación general de la tecnología.
El sistema CIC graba en vídeo el vestíbulo y la entrada de la Junta de Rentar . En caso de robo o vandalismo, el personal de RNT Revisar la grabación para determinar si se ha registrado el incidente.
El Q-See QT454 es un DVR que utiliza chips de procesamiento de video de alto rendimiento y un sistema operativo Linux integrado para una grabación de imagen de calidad y una gran facilidad de uso. Incorpora numerosas tecnologías avanzadas, incluido el códec H.264, estándar en la industria, para ofrecer videos fluidos y de alta calidad, además de capacidad de doble transmisión para visualización remota. Su interfaz para disco duro SATA permite la actualización, y su salida VGA permite conectarlo a cualquier televisor o monitor estándar.
Las cámaras del vestíbulo se utilizan para proteger contra el acoso, el robo, la seguridad o el vandalismo en el área del vestíbulo de la Junta de Rentar , que incluye computadoras de acceso público y otros bienes propiedad de la ciudad.
2. Las categorías y cargos específicos de las personas autorizadas por el Departamentos para acceder o utilizar la información recopilada.
- 0961 – Jefe de Departamentos
3. ¿Qué procedimientos se establecerán para que los ciudadanos puedan presentar quejas o inquietudes, o formular preguntas sobre el despliegue o el uso de una tecnología de vigilancia específica, y cómo garantizará el Departamentos que cada pregunta y queja reciba respuesta de manera oportuna?
- El manual del empleado del Departamentos de Recursos Humanos aborda el uso que hacen los empleado de los recursos municipales y de los sistemas informáticos y de información de datos de la ciudad. El Departamentos de Tecnología define el CIC como un recurso municipal.
4. Detalles específicos sobre dónde se almacenarán los datos (localmente, en DT, SaaS, almacenamiento en la nube), incluyendo el nombre del proveedor y el período de retención.
- Todos los datos se almacenan localmente.
5. ¿Se requiere una orden judicial antes de compartir información con las fuerzas policiales?
- No