Política de custodia de datos

El propósito de esta política es:

• Designar al Departamentos de Tecnología (DT) como Administrador de Infraestructura, encargado del procesamiento técnico para operar y proteger la infraestructura de TI administrada por DT, incluyendo transmisión, almacenamiento, copia de seguridad/restauración, registro y vigilancia; seguimiento; observación; supervisión; monitoreo (por aparatos).
• Designar a los departamentos municipales como custodios de datos, responsables de todas las prácticas de datos que rijan el acceso, la divulgación, la segregación y la retención.
• Describa las funciones y responsabilidades que tiene cada parte en relación con esta política.

Todas las demás políticas que rigen el uso autorizado de los recursos informáticos de la Ciudad y el Condado de San Francisco (CCSF) siguen vigentes, al igual que la Carta Municipal, todas las leyes municipales, estatales y federal , y todas las regulaciones (por ejemplo, HIPAA, CJIS, la Ordenanza Sunshine, la Retención de Datos, etc.) que protegen la confidencialidad e integridad de los datos confiados a los departamentos de la CCSF.

Esta política se aplica a las redes, el hardware, el software, el almacenamiento, los entornos de nube externos, el SaaS y los datos (registros de bases de datos, vídeo, chat, teléfono, etc.) gestionados por DT, según se define a continuación. Esto se diferencia de un contrato o acuerdo de tecnología empresarial compartida gestionado por DT, en el que varios departamentos pueden usar el mismo Acuerdo Empresarial, pero cada Departamentos gestiona o administra sus implementaciones o instancias técnicas de forma independiente, incluyendo a DT.

El Departamentos de Tecnología (DT) es el administrador de la infraestructura de datos transmitidos, cargados, accedidos o almacenados en la infraestructura de TI de la ciudad administrada por el DT. Cada Departamentos es el custodio de los datos del departamento y es responsable de las prácticas de datos que rigen el acceso, la divulgación, la segregación y la retención. Las responsabilidades de custodia de datos corresponden a los departamentos, sujetas a las demás políticas relacionadas que se mencionan a continuación. Cada Departamentos actúa como custodio de los registros públicos de sus propios registros según la Ordenanza de Transparencia y es responsable de tomar todas las decisiones de divulgación relacionadas con sus registros. Además, el DT no compartirá, registrará, transmitirá, alterará ni eliminará información perteneciente a los departamentos de CCSF, excepto que el DT compartirá y transmitirá información en respuesta a una citación, una orden de retención de litigio u otra solicitud legal del abogado de la ciudad, el contralor, la Junta de Supervisores, el fiscal de distrito o la Comisión de Ética relacionada con una investigación o una solicitud del abogado de la ciudad relacionada con un litigio.

El Departamentos de Tecnología (DT) proporciona una gestión segura de la infraestructura de Tecnologías de la Información (TI) de toda la ciudad, incluyendo conectividad, redes, sistemas operativos, servicios de correo electrónico y voz, y aplicaciones de software para empresas. La gestión de TI abarca la administración operativa de plataformas y sistemas que almacenan, transmiten y protegen información de diversos tipos (tablas de bases de datos, imágenes escaneadas, grabaciones de audio y video, mensajes y correos electrónicos). Los departamentos municipales utilizan la infraestructura del DT para automatizar procesos y ofrecer servicios públicos de alta calidad.

Durante la administración y el mantenimiento del sistema, DT realiza las operaciones necesarias para dar soporte a los servicios de infraestructura, incluyendo la seguridad informática, la gestión y la optimización del rendimiento del sistema. DT ha implementado y mantendrá medidas de seguridad técnicas y organizativas adecuadas para el almacenamiento y el procesamiento de datos. Estas medidas consideran la naturaleza, el alcance y la finalidad de los datos (producción, desarrollo, pruebas, recuperación ante desastres e instantáneas operativas, copias de seguridad, conmutación por error) y tienen como objetivo proteger los datos contra los riesgos inherentes a la gestión de la infraestructura informática, en particular los riesgos derivados de la destrucción, pérdida, alteración, divulgación o acceso no autorizados a los datos, ya sean accidentales o ilícitos. DT ha implementado controles de acceso, cifrado de la transmisión , recuperación ante desastres, protección de seguridad y vigilancia; seguimiento; observación; supervisión; monitoreo (por aparatos) para proteger los datos almacenados en la infraestructura gestionada por DT.

DT se toma muy en serio sus responsabilidades en materia de seguridad y privacidad de la información almacenada en las plataformas empresariales de la ciudad. Anualmente, los empleados de DT firman el Acuerdo de Confidencialidad empleado de Tecnologías de la Información de DT, que certifica que solo accederán a la información y los datos en la infraestructura gestionada por DT en el desempeño de sus funciones y para ningún otro fin. Además, DT ha establecido prácticas y políticas de ciberseguridad de CCSF para regular su función en el soporte, mantenimiento y protección de la infraestructura crítica y los sistemas de datos.

Los datos pertenecen al Departamentos propietario, y la política de DT es mantenerlos como información confidencial de conformidad con las leyes, políticas y procedimientos aplicables. En circunstancias excepcionales, se podrán aplicar excepciones a esta política cuando sea necesario para cumplir con solicitudes legales y de investigación válidas.

Los departamentos proporcionarán al Departamento de Tecnología los requisitos de seguridad de datos (como PII, CJIS, CLETS, POS) para proteger los datos contra el procesamiento o la divulgación no autorizados o ilícitos; el acceso, la manipulación o el uso indebido no justificados; y la pérdida, destrucción o daño accidentales. Los datos recopilados y conservados por el Departamentos estarán protegidos por las salvaguardas apropiadas para su(s) nivel(es) de clasificación según lo definido por el marco de seguridad 800-53 del Instituto Nacional de Estándares y Tecnología (NIST), o requisitos equivalentes de otros marcos importantes de ciberseguridad seleccionados por el Departamentos.

Departamentos de Tecnología – Gerente de Infraestructura

• Responsable de implementar la infraestructura técnica y la arquitectura de la plataforma empresarial compartida.
• Establece procesos para mantener la seguridad, la integridad, el transporte y el almacenamiento de los datos.
• Es responsable de la gestión operativa y administrativa diaria de las bases de datos y los sistemas de información empresarial (Microsoft Office 365) compatibles con DT.
• Realiza el mantenimiento del sistema para garantizar la disponibilidad y la continuidad de los servicios.
• Garantiza que el acceso a las aplicaciones y los datos de la empresa esté autorizado y que se apliquen prácticas de gestión de Cambiar en colaboración con los responsables de los datos.
• Genera alertas, realiza diagnosis técnicos y resuelve fallos en el software y el hardware subyacentes que podrían impacto; efecto la calidad, la integridad y la coherencia de los datos.
• Gestiona todos los datos de la ciudad como información confidencial, pero no está autorizado a divulgar de forma independiente los datos de otros departamentos.
  • Bajo la dirección del responsable de datos del Departamentos , el Departamento de Datos podrá realizar búsquedas, exportaciones o transmisiones para respaldar las respuestas legales a solicitudes de registros públicos u otros fines autorizados por el departamento.
  • Bajo la dirección del Fiscal Municipal, el Contralor, la Junta de Supervisores, el Fiscal de Distrito o la Comisión de Ética, el Departamento de Tecnología (DT) podrá realizar búsquedas, exportaciones o transmisiones para cumplir con investigaciones o órdenes de retención de documentos por litigio. La autoridad solicitante notificará al jefe del Departamentos y al director de TI del mismo, en la medida en que lo permita la ley y de acuerdo con las necesidades de la investigación.
  • En todos los casos, el acceso de DT a los datos sujetos a CJIS, CLETS o HIPAA se limita a lo que permiten dichos marcos normativos.
• Realiza evaluaciones de riesgos de proveedores y escaneo/ vigilancia; seguimiento; observación; supervisión; monitoreo (por aparatos) de la red para proteger la infraestructura, los datos y los servicios.

Departamentos de la Ciudad y el Condado de San Francisco – Custodio de Datos

• Crea, edita, define el acceso y elimina datos de acuerdo con los objetivos y procesos comerciales del departamento, así como con las políticas de retención.
• Regula la retención de datos para la información.
• Garantiza que existan protocolos locales eficaces para guiar el uso adecuado, la calidad, la disponibilidad y la integridad de los datos.
• Cumple con todas las políticas y procedimientos legales, reglamentarios y de protección de datos. Esto incluye la responsabilidad de clasificar los datos de acuerdo con el Estándar de Clasificación de Datos de COIT.
• Colabora de forma proactiva con DT, en su calidad de gestor de infraestructuras, para definir el alcance y las limitaciones de la seguridad y el acceso.
• Decide cómo se organizan y estructuran los datos del departamento (incluido el modelo de datos y el diseño de la base de datos), a menos que se acuerde lo contrario por escrito con el Gerente de Infraestructura.
• Actúa como custodio de los registros públicos de los datos del Departamentos según lo definido en la Sección 67.21 del Código Administrativo, lo que significa que el Departamentos tiene la custodia de sus registros y la autoridad para tomar decisiones de divulgación bajo la Ordenanza Sunshine (Capítulo 67 del Código Administrativo) y la Ley de Registros Públicos de California (Secciones 7920-7931 del Código Gubernamental).

Todos los usuarios de CCSF (empleados, trabajadores temporales, contratistas, proveedores, pasantes o voluntarios) que utilicen la infraestructura administrada por DT son responsables de cumplir con esta política. El empleado que incumpla reiteradamente esta política podrá ser objeto de las medidas disciplinarias correspondientes.

Esta política no reemplaza los memorandos de entendimiento específicos del departamento ni otros acuerdos operativos con DT, excepto cuando esta política indique explícitamente lo contrario.

• CJIS: Servicios de Información sobre Justicia Penal
• CLETS: Sistema de Telecomunicaciones fuerzas policiales de California
• Custodio de un registro público: el Departamentos municipal o su personal designado que tenga la custodia o el control de un registro público y que sea responsable de responder a las solicitudes de registros públicos, ayudar a los solicitantes y proporcionar una justificación por escrito para cualquier retención basada en una exención aplicable, de conformidad con la Ordenanza Sunshine (Capítulo 67 del Código Administrativo) y la Ley de Registros Públicos de California (Secciones 7920-7931 del Código de Gobierno).
• Responsable del custodia de datos: el Departamentos municipal que tiene la custodia y la autoridad para tomar decisiones sobre sus datos y registros, incluidas las decisiones que rigen el acceso, la divulgación, la segregación y la retención, de conformidad con las políticas y los códigos pertinentes.
• Infraestructura gestionada por DT: Recursos informáticos municipales (como redes, hardware, software, almacenamiento, plataformas empresariales, entornos de nube externos y SaaS) sobre los que DT tiene el control operativo principal.
• HIPAA: Ley de Portabilidad y Responsabilidad del Seguro Médico
• Administrador de infraestructura: El rol de DT como operador y administrador de la infraestructura gestionada por DT, responsable de operar y proteger dicha infraestructura, pero no de decidir los requisitos de divulgación, segregación o retención de los datos del Departamentos .
• IPI: Información de identificación personal
• TPV: Comprobante de servicio
• SaaS: Software como servicio

• Política estándar de clasificación de datos a nivel municipal
• Política de ciberseguridad para toda la ciudad
• Manual del empleado del Departamentos de Recursos Humanos
• Política de programación de SFGovTV
• DT Citywide: Procedimiento de retención de documentos por parte del abogado municipal – 75-0003
• Reconocimiento de confidencialidad empleado de DT Information Technology que certifica que los empleados de DT solo accederán a la información/datos mantenidos por DT según sea necesario para el desempeño de las funciones asignadas y para ningún otro propósito.