Política de custodia y administración de datos

El propósito de esta política es:

• Designar al Departamentos de Tecnología (DT) como administrador de infraestructura (custodio) que realiza el procesamiento de datos (administrador de infraestructura) para los activos de TI administrados por DT.
• Designar los departamentos de la ciudad como propietarios de los datos (Propietarios).
• Describa las funciones y responsabilidades que tiene cada parte en relación con esta política.

Todas las demás políticas que rigen el uso autorizado de los recursos informáticos de CCSF siguen vigentes, al igual que todas las normativas (por ejemplo, HIPAA, CJIS, Sunshine Ordinance, retención de datos, etc.) que protegen la confidencialidad e integridad de los datos confiados a los departamentos de CCSF.

Esta política se aplica a las redes, el hardware, el software, el almacenamiento, los entornos de nube externos, el SaaS y los datos (registros de bases de datos, vídeo, chat, teléfono, etc.) gestionados por DT, donde DT ejerce la administración directa y/o la supervisión técnica. Esto se diferencia de un contrato o acuerdo de tecnología empresarial compartida gestionado por DT, en el que varios departamentos pueden usar el mismo Acuerdo Empresarial, pero gestionan o administran sus implementaciones o instancias técnicas de forma independiente, incluyendo a DT.

El Departamentos de Tecnología (DT) es y seguirá siendo en todo momento el "custodio" de los datos transmitidos, cargados, accedidos o almacenados en la infraestructura de TI de la ciudad administrada por el DT. Cada Departamentos es el "propietario" de sus datos y es responsable de las prácticas de datos que rigen el acceso, la segregación y la retención. Las responsabilidades de propiedad de los datos corresponden a los departamentos, sujetas a las demás políticas relacionadas que se mencionan a continuación. Además, el DT no compartirá, registrará, transmitirá, alterará ni eliminará información perteneciente a los departamentos de CCSF, excepto que el DT compartirá y transmitirá información en respuesta a una solicitud del City Attorney, el Contralor o la Comisión de Ética relacionada con una investigación o una solicitud del City Attorney relacionada con un litigio.

El Departamentos de Tecnología (DT) proporciona una gestión segura de la infraestructura de Tecnologías de la Información (TI) de toda la ciudad, incluyendo conectividad, redes, sistemas operativos, servicios de correo electrónico y voz, y aplicaciones de software para empresas. La gestión de TI abarca la administración operativa de la información almacenada en tablas de bases de datos, imágenes escaneadas, grabaciones de audio y video, mensajes, correos electrónicos y otros tipos de datos. Los departamentos municipales utilizan la infraestructura del DT para automatizar procesos y ofrecer servicios públicos de alta calidad.

Durante la administración y el mantenimiento del sistema, DT realiza las operaciones necesarias para dar soporte a los servicios de infraestructura, incluyendo la seguridad informática, la gestión y la optimización del rendimiento del sistema. DT ha implementado y mantendrá medidas de seguridad técnicas y organizativas adecuadas para el almacenamiento y el procesamiento de datos. Estas medidas consideran la naturaleza, el alcance y la finalidad de los datos (producción, desarrollo, pruebas, recuperación ante desastres e instantáneas operativas, copias de seguridad, conmutación por error) y tienen como objetivo proteger los datos contra los riesgos inherentes a la gestión de la infraestructura informática, en particular los riesgos derivados de la destrucción, pérdida, alteración, divulgación o acceso no autorizados, ya sean accidentales o ilícitos. DT ha implementado controles de acceso, cifrado de transmisión , recuperación ante desastres, protección de seguridad y vigilancia; seguimiento; observación; supervisión; monitoreo (por aparatos) para proteger los datos almacenados en la infraestructura gestionada por DT.

DT se toma muy en serio sus responsabilidades en materia de seguridad y privacidad de la información almacenada en las plataformas empresariales de la ciudad. Anualmente, los empleados de DT firman el Acuerdo de Confidencialidad empleado de Tecnologías de la Información de DT, que certifica que solo accederán a la información y los datos de la infraestructura gestionada por DT en el desempeño de sus funciones y para ningún otro fin. Además, DT ha establecido prácticas y políticas de ciberseguridad de CCSF para regular su función en el soporte, mantenimiento y protección de la infraestructura crítica y los sistemas de datos.

Los datos pertenecen al Departamentos propietario, y la política de DT es mantenerlos como información confidencial de conformidad con las leyes, políticas y procedimientos aplicables. En circunstancias excepcionales, se podrán aplicar excepciones a esta política cuando sea necesario para cumplir con solicitudes legales y de investigación válidas.

Los departamentos proporcionarán al Departamento de Tecnología los requisitos de seguridad de datos (como PII, CJIS, CLETS, POS) para proteger los datos contra el procesamiento o la divulgación no autorizados o ilícitos; el acceso, la manipulación o el uso indebido no justificados; y la pérdida, destrucción o daño accidentales. Los datos recopilados y conservados por el Departamentos estarán protegidos por las salvaguardas apropiadas para su(s) nivel(es) de clasificación según lo definido por el marco de seguridad 800-53 del Instituto Nacional de Estándares y Tecnología (NIST), o requisitos equivalentes de otro marco importante de ciberseguridad seleccionado por el Departamentos.

Departamentos de Tecnología – Gerente/Responsable de Infraestructura

• Responsable de implementar la infraestructura técnica y la arquitectura de la plataforma empresarial compartida.
• Establece procesos para mantener la seguridad, la integridad, el transporte y el almacenamiento de los datos.
• Mantiene la responsabilidad de la gestión operativa y administrativa diaria de las bases de datos, los conjuntos de datos y los sistemas de información empresarial (O365) compatibles con DT.
• Realiza el mantenimiento del sistema para garantizar la disponibilidad y la continuidad de los servicios.
• Garantiza que el acceso a las aplicaciones y los datos de la empresa esté autorizado y que se apliquen prácticas de gestión de Cambiar en colaboración con los propietarios de los datos.
• Genera alertas, realiza diagnosis técnicos y resuelve fallos en el software y el hardware subyacentes que podrían impacto; efecto la calidad, la integridad y la coherencia de los datos.
• Gestiona todos los datos de la ciudad como información confidencial y su divulgación solo está autorizada por el Departamentos propietario.
• Como custodios de los datos de los departamentos, DT realiza evaluaciones de riesgos de proveedores y escaneo/ vigilancia; seguimiento; observación; supervisión; monitoreo (por aparatos) de la red para proteger la infraestructura, los datos y los servicios.

Departamentos de la Ciudad y el Condado de San Francisco – Propietario de los datos

• Crea, edita, define el acceso y elimina datos de acuerdo con los objetivos y procesos comerciales del departamento, así como con las políticas de retención.
• Regula la retención de datos para la información.
• Garantiza que existan protocolos locales eficaces para guiar el uso adecuado, la calidad, la disponibilidad y la integridad de los datos.
• Cumple con todas las políticas y procedimientos legales, reglamentarios y de datos. Esto incluye la responsabilidad de la clasificación de datos de acuerdo con el Estándar de Clasificación de Datos de COIT.
• Colabora de forma proactiva con el gestor de infraestructuras para definir el alcance y las limitaciones de la seguridad y el acceso.

Todos los usuarios de CCSF (empleados, trabajadores temporales, contratistas, proveedores, pasantes o voluntarios) que utilicen los recursos administrados por DT son responsables de cumplir con esta política. El empleado que incumpla reiteradamente esta política podrá ser objeto de las medidas disciplinarias correspondientes.