Política de seguridad

Este informe contiene el protocolo de actuación para cada uno de los ficheros de datos y refleja todas las medidas técnicas y organizativas tomadas para garantizar la protección de datos teniendo en cuenta los riesgos que pueda tener el tratamiento como consecuencia de la destrucción accidental o ilícita de datos, la pérdida, alteración o comunicación de datos y el acceso a los datos cuando sean transmitidos, conservados u objeto de algún tipo de tratamiento.

RESPONSABLE DE SEGURIDAD: Alejandro Manuel López Garrido, administrador de FILMIJOB, empresa encargada del tratamiento y proveedora del servicio.

1. PROTOCOLO PARA PROTEGER LOS DATOS

1.1. ACUERDOS DE CONFIDENCIALIDAD CON LOS EMPLEADOS DEL RESPONSABLE DE TRATAMIENTO DE TRATAMIENTO CON ACCESO A DATOS DE CANDIDATOS

Una de las principales preocupaciones es garantizar la protección de los datos. Para ello, será obligatorio garantizar que el personal que realiza el tratamiento, sea propio o ajeno, se comprometa a:

  • Realizar el tratamiento siguiendo las instrucciones del Responsable.
  • Respetar la confidencialidad de los datos.

Para garantizar esto, se acuerdan las siguientes medidas:

  • Todas las cuentas dentro del sistema FILMIJOB estarán asociadas a personas físicas individuales, en ningún caso a grupos o colectivos.
  • Todos los empleados del Responsable de tratamiento con acceso a datos deberán de facilitar un acuerdo de confidencialidad, por escrito y debidamente firmado por ambas partes en formato electrónico, para demostrar que se han comunicado correctamente las instrucciones del tratamiento y el deber de secreto profesional.
  • El acuerdo de confidencialidad incluirá las instrucciones necesarias para que el tratamiento se realice conforme al Reglamento. Para ello, se adjuntará el presente documento al acuerdo de confidencialidad, que será de lectura obligatoria.
  • No se dará acceso al tratamiento de datos a ninguna persona que no haya facilitado previamente el acuerdo de confidencialidad debidamente firmado.
  • El acuerdo de confidencialidad dispone, además, de una cláusula que obliga a crear las condiciones técnicas y organizativas necesarias para el tratamiento de los datos.
  • Cuando el empleado trabaje con empresas de servicios que no están autorizadas a tratar datos (limpieza, extintores, etc.), deberá de analizar los riesgos que puedan existir por la contratación de dichos servicios. Si determina que pueden existir riesgos, deberá de formalizar un contrato donde se especifique que no tiene permiso para acceder a los datos personales y que se compromete a establecer acuerdos de confidencialidad con el personal que presta los servicios en la empresa, bajo el supuesto de que, durante el desempeño de su trabajo, pudieran acceder de manera accidental o fortuita a ellos.

El modelo de acuerdo de confidencialidad puede consultarse AQUÍ.

1.2. NIVELES DE SEGURIDAD DE LOS DATOS

La LOPD basaba las medidas de seguridad en la aplicación de niveles de seguridad (Básico, Medio y Alto), detallando acciones precisas de índole técnica y organizativa a adoptar para cada nivel. Estas medidas son controladas por el responsable de seguridad, y son las siguientes:

NIVEL BÁSICO: FICHERO STORE MANAGERS

Personal
  • Responsable de tratamiento: CLIENTE
  • Encargados de tratamiento: FILMIJOB.

Funciones de control y autorizaciones: todos los empleados del Responsable de tratamiento con acceso a datos deberán de facilitar al responsable de tratamiento el acuerdo de confidencialidad firmado para tener acceso al tratamiento de los datos de los CANDIDATOS.
Consecuencias por su incumplimiento: las consecuencias por el incumplimiento por parte del personal del Responsable de tratamiento las determinará el Responsable de tratamiento, que es el principal afectado.
Las consecuencias por el incumplimiento por parte de FILMIJOB se determinarán en el contrato que establece la relación entre FILMIJOB y el CLIENTE.

Incidencias Se llevará a cabo un registro digitalizado de todas las incidencias.
Control de acceso Existe un control de accesos a los empleados del Responsable de tratamiento con acceso a datos, mediante:

  • Acuerdo de confidencialidad firmado para obtener los permisos de tratamiento a través de la plataforma FILMIJOB.
  • Monitorización y registro de todas las actividades de tratamiento llevadas a cabo por cada uno.

La concesión de permisos de acceso la solicitará sólo el Responsable de tratamiento, y la otorgará sólo el Responsable de seguridad.

Identificación y autenticación
  • El sistema facilita una identificación y autenticación personalizada. Cada usuario está asociado a un email y una contraseña, que a su vez están asociados únicamente a personas físicas.
  • La política de contraseñas puede consultarse en POLÍTICA DE CONTRASEÑAS.
  • Todas las contraseñas se almacenan encriptadas.
  • Se sugiere actualizar la contraseña de acceso con una periodicidad inferior al año.
Gestión de soportes
  • Inventario de soportes: máquina virtual en DigitalOcean con sistema operativo ubuntu 14.04, y acceso a ssh cuenta de root.
  • Acceso restringido al lugar de almacenamiento: Nuestros centros de datos se encuentran en Amsterdam. El sitio cuenta con personal las 24 horas del día, los 365 días del año, con seguridad física en el lugar para protegerse contra la entrada no autorizada. Los controles de seguridad incluyen:
    • Servicios de guardia de seguridad física 24/7.
    • Restricciones físicas de entrada a las instalaciones.
    • Restricciones físicas de entrada al centro de datos, ubicado dentro de las instalaciones.
    • Lectores biométricos con autenticación de dos factores.
    • Batería y generador de respaldo.
    • Zonas de carga segura para equipos.
  • Autorización de las salidas de soportes: Sólo los Encargados de tratamiento puedan sacar de la plataforma FILMIJOB los siguientes datos:
    • Currículum de los candidatos en formato PDF, para facilitar la evaluación del candidato evaluación en una entrevista personal imprimiendo el documento. Sólo se pueden obtener de manera individualizada.
    • Documento de EXCEL con los diferentes candidatos suscritos a un determinado punto de venta.
    • Base de datos completa de CANDIDATOS y STORE MANAGER, que será facilitada al CLIENTE a la finalización del servicio sin ningún coste adicional.
  • Todos los clientes estan separados en cuanto a código fuente (aplicación) y base de datos, así como también todos los accesos (FTP, cuentas de acceso administrativas, etc).
  • La solución de FILMIJOB tiene los siguientes protocolos abiertos: FTP, HTTP, HTTPS, MYSQL, SMTP, SSH
  • Actualmente, la solución se está ejecutando con un servicio en la nube, donde la apertura de los puertos de comunicación necesarios pueden conectarse con cualquier servicio.
Copias de respaldo
  • Se realizará una copia de respaldo diaria de toda la base de datos. Esta copia, además, se podrá descargar mediante un usuario FTP para ser almacenada en una infraestructura diferente a la del servicio FILMIJOB.
  • Se realizará además una copia de seguridad de semanal de los datos del servidor, permitiendo de este modo la reconstrucción de los datos a partir de la última copia en caso de fallos.
Criterios de archivo
  • El archivo de los documentos está realizado de modo que facilita su consulta y localización para garantizar el ejercicio de los derechos del interesado de Acceso, Rectificación, Supresión, Limitación, Oposición, Elaboración de perfiles y Portabilidad.
Almacenamiento El servicio dispone de un certificado SSL. Este proceso se realiza a través de un agente certificador que nos proporciona una clave que está instalada en el servidor.

NIVEL MEDIO: FICHERO CANDIDATOS

Las medidas de seguridad de nivel básico aplicadas en el fichero STORE MANAGERS son exigibles en todos los casos. Las medidas de nivel medio complementan a las anteriores, además de estas otras medidas, propias del nivel medio:

Responsable de seguridad Alejandro Manuel López Garrido.
El responsable de seguridad es el encargado de coordinar y controlar las medidas del documento.
Incidencias En caso de cualquier incidencia, se anotarán:

  • Los procedimientos de recuperación
  • Persona que lo ejecuta
  • Datos restaurados
  • Autorización del Responsable de tratamiento para la recuperación de los datos.
Control de acceso
  • Acceso restringido al lugar de almacenamiento: Nuestros centros de datos se encuentran en Amsterdam. El sitio cuenta con personal las 24 horas del día, los 365 días del año, con seguridad física en el lugar para protegerse contra la entrada no autorizada. Los controles de seguridad incluyen:
    • Servicios de guardia de seguridad física 24/7.
    • Restricciones físicas de entrada a las instalaciones.
    • Restricciones físicas de entrada al centro de datos, ubicado dentro de las instalaciones.
    • Lectores biométricos con autenticación de dos factores.
    • Batería y generador de respaldo.
    • Zonas de carga segura para equipos.
Identificación y autenticación Existe un límite de 5 intentos reiterados de acceso antes de que el sistema considere ese acceso como no autorizado y bloquee el acceso durante 24 horas.
Gestión de soportes
  • Sólo los Encargados de tratamiento puedan sacar de la plataforma FILMIJOB los siguientes datos:
    • Currículum de los candidatos en formato PDF, para facilitar la evaluación del candidato evaluación en una entrevista personal imprimiendo el documento. Sólo se pueden obtener de manera individualizada.
    • Documento de EXCEL con los diferentes candidatos suscritos a un determinado punto de venta.
    • Base de datos completa de CANDIDATOS y STORE MANAGER, que será facilitada al CLIENTE a la finalización del servicio sin ningún coste adicional.
Auditoría
  • Al menos una vez al año se realizará una auditoría interna o externa.
  • Estas auditorías darán como resultado un Informe de detección de deficiencias y propuestas correctoras.

2. RIESGOS

2.1. ANÁLISIS DE LOS RIESGOS DEL TRATAMIENTO

Para evaluar el nivel de seguridad a implantar en la organización, se analizarán los altos riesgos que entraña el tratamiento como consecuencia de:

  • La destrucción accidental o ilícita de datos.
  • La pérdida, alteración o comunicación no autorizada.
  • El acceso a los datos cuando sean transmitidos, conservados u objeto de algún otro tipo de tratamiento.

Según el riesgo previsto, se aplicarán las siguientes medidas de protección de datos:

  • Encriptación y cifrado de las contraseñas.
  • Confidencialidad, integridad, disponibilidad y resistencia de los sistemas de tratamiento, concretamente de la plataforma web FILMIJOB. Las especificaciones técnicas se detallan en la el presente documento.
  • Acuerdos de confidencialidad con el personal autorizado para el tratamiento de datos, que deberán de ser correctamente firmados y verificados para dar acceso a los datos de los CANDIDATOS. Estos acuerdos podrán ser consultados siempre que se desee tanto por el responsable de tratamiento como por el encargado de tratamiento.
  • Restauración de datos mediante copias de seguridad, con backup diarios en una infraestructura diferente a la del aplicativo web.
  • Auditoría de las medidas de seguridad adoptadas, que serán llevadas a cabo con una periodicidad anual.

2.2. PROTECCIÓN DE DATOS DESDE EL DISEÑO Y POR DEFECTO

FILMIJOB garantiza la aplicación efectiva de los principios de protección de datos mediante las siguientes medidas de seguridad:

  • El tratamiento se realiza para fines específicos, explícitos y legítimos, y no tratados posteriormente de manera incompatible con dichos fines. Estos fines son:
    • Evaluar la idoneidad del candidato con el puesto
  • La minimización de datos, siendo adecuados, pertinentes y necesarios en relación con los fines para los que son tratados. Todos los datos provenientes del candidato serán imprescindibles para su evaluación y citación para una posible entrevista de trabajo de cara a la contratación de éste. Detallado en el listado de datos solicitados, en el ANEXO I: PRINCIPIOS DE TRATAMIENTO.
  • La exactitud, confidencialidad, integridad, seguridad física y supresión de los datos.
  • La protección de los derechos del interesado.
  • Que los datos no sean accesibles, sin la intervención humana, a un número indeterminado de personas.
  • Aplicación de los resultados de la evaluación de impacto.

2.3. APLICACIÓN DE MEDIDAS DE SEGURIDAD ADECUADAS

Aunque el Reglamento no dispone de actuaciones precisas para garantizar la seguridad de los datos, se han tomado las siguientes de seguridad con el fin de mitigar los riesgos en todo lo posible:

TRATAMIENTO MEDIDAS DE SEGURIDAD
Organización
  • Los datos se encuentran clasificados en bases de datos dinámicas de manera que en cualquier momento y con facilidad se pueden ejercer los derechos de los interesados.
Conservación
  • Máquina virtual en DigitalOcean en un centro de datos situado en Ámsterdam con sistema operativo ubuntu 14.04, y acceso a ssh cuenta de root.
Acceso
  • Los accesos están limitados a personas físicas mediante un usuario y contraseña. La política de contraseñas se puede consultar en el epígrafe POLÍTICA DE CONTRASEÑAS.
  • Todos los empleados del Responsable de tratamiento con acceso a los datos han debido de leer previamente toda la documentación de seguridad y firmado un acuerdo de confidencialidad para la protección de los datos.
  • Se lleva a cabo un registro del tratamiento de los datos, de manera que se puede identificar fácilmente a todos los responsables de las acciones de tratamiento que se lleven a cabo sobre los datos de cada fichero.
  • Existe un límite de 5 intentos reiterados de acceso al día.
Procesamiento
  • Los soportes físicos (servidores en el centro de datos) están dispuestos de tal forma que no sean accesibles a personas no autorizadas. El sitio cuenta con personal las 24 horas del día, los 365 días del año, con seguridad física en el lugar para protegerse contra la entrada no autorizada. Los controles de seguridad incluyen:
    • Servicios de guardia de seguridad física 24/7.
    • Restricciones físicas de entrada a las instalaciones.
    • Restricciones físicas de entrada al centro de datos, ubicado dentro de las instalaciones.
    • Lectores biométricos con autenticación de dos factores.
    • Batería y generador de respaldo.
    • Zonas de carga segura para equipos.
  • Los soportes informáticos (ficheros) tampoco son accesibles a personas no autorizadas, ya que para el acceso se han tomado las medidas de seguridad oportunas descritas en el punto anterior (acceso).
Eliminación
  • Existen tres procedimientos para la eliminación de los datos del interesado:
    • Mediante un botón de “Eliminar perfil”: Tanto el CANDIDATO como el STORE MANAGER disponen de botones en su perfil para eliminar sus datos.
    • Eliminación de perfiles por parte de los administradores. Los administradores borrarán los perfiles de los interesados cuando éstos lo soliciten de algún modo o cuando consideren que conservar los datos del interesado ya no tiene sentido atendiendo a los fines para los cuales estos se recabaron.
    • Supresión automática de los datos, cuando pasen 18 meses desde que el interesado no realiza ninguna actualización con respecto a éstos.
Copias de respaldo
  • Se realizará una copia de seguridad diaria de toda la base de datos.
Protección
  • Todos los clientes estan separados en cuanto a código fuente (aplicación) y base de datos, así como también todos los accesos (FTP, cuentas de acceso administrativas, etc).
  • Actualmente no se ha tenido la necesidad de instalar ningún tipo de anti-malware, ya que se tratabaja en un ambiente de Linux.
  • Las contraseñas de todos los usuarios se encuentran cifradas dentro del sistema. Para más información consultar la POLÍTICA DE CONTRASEÑAS.
Redes El servicio dispone de un certificado SSL. Este proceso se realiza a través de un agente certificador que nos proporciona una clave que está instalada en el servidor.
Auditorías
  • FILMIJOB asume una responsabilidad proactiva con la contratación anual de auditorías.
  • Registro de todas las actividades del tratamiento.
  • Creación de una Política de seguridad.

3. EVALUACIÓN DE IMPACTO

Una Evaluación de Impacto en la Protección de Datos Personales es un análisis de los riesgos que un producto o servicio puede entrañar para la protección de datos de los afectados y, como consecuencia de ese análisis, la gestión de dichos riesgos mediante la adopción de las medidas necesarias para eliminarlos o mitigarlos.

Generales
Riesgos Medidas
  • Pérdidas económicas y daños reputacionales derivados del incumplimiento de la legislación sobre protección de datos personales.
  • Pérdidas económicas, pérdida de clientes y daños reputacionales derivados de la carencia de medidas de seguridad adecuadas o de la ineficacia de las mismas, en particular, cuando se producen pérdidas de datos personales.
  • Pérdida de competitividad del producto o servicio derivada de los daños reputacionales causados por una deficiente gestión de la privacidad de las personas.
  • Formación apropiada del personal sobre protección de datos con la lectura obligatoria del presente documento.
  • Comunicación clara de las responsabilidades del personal en relación con el cumplimiento de las políticas de privacidad de la empresa, así como de las sanciones asociadas al incumplimiento de las mismas.
  • Control de acceso a los datos de los ficheros mediante la firma de un acuerdo de confidencialidad por parte de todos los empleados del Responsable de tratamiento con acceso a datos.
  • Falta de conocimiento experto sobre protección de datos y de canales de comunicación con los afectados.
  • Nombrar a una persona (el Responsable de Seguridad) como responsable también de la interlocución con los afectados en todo aquello relativo a la privacidad y la protección de datos personales, y comunicar claramente la forma de contactar con ellos.
  • Nombrar un Delegado de Protección de Datos o Data Protection Officer para ocuparse de todas las cuestiones relativas a la privacidad y contar con asesoramiento cualificado.
  • Incorporación tardía de los expertos en protección de datos (en particular, del delegado de protección de datos o DPO) al proyecto o definición deficiente de sus funciones y competencias.
  • Incluir dentro de los procedimientos de diseño y desarrollo de nuevos productos y servicios la incorporación del DPO en las fases iniciales de los mismos.
  • Establecer desde la dirección las funciones, competencias y atribuciones del DPO en el desarrollo y gestión de los proyectos.

 

Legitimación de los tratamientos y cesiones de datos personales
Riesgos Medidas
  • Tratar datos personales cuando no es necesario para la finalidad perseguida
  • Revisar de forma exhaustiva los flujos de información para detectar si se solicitan datos personales que luego no son utilizados en ningún proceso.
  • Carecer de una legitimación clara y suficiente para el tratamiento o la cesión de datos personales.
  • Destacar en el documento que se comparte con el interesado para su aceptación la necesidad de acceder a sus datos para evaluar su candidatura.
  • Lectura obligatoria del documento de seguridad por parte de todos los empleados del Responsable de tratamiento con acceso a datos.
  • Buscar asesoramiento experto. FILMIJOB cuenta con el asesoramiento del despacho de abogados ONTIER.
  • Obtener un consentimiento dudoso, viciado o inválido para el tratamiento o cesión de datos personales.
  • El consentimiento se da en el momento del registro y de forma explícita, con lo que su validez no da pie a dudas.
  • En el caso presente, no se condiciona el disfrute de un producto o servicio al consentimiento para finalidades diferentes, sino que la evaluación de los datos facilitados por parte del interesado es imprescindible para conocer la idoneidad del interesado con el puesto.
  • En ningún momento se fuerza el consentimiento desde una posición de prevalencia del responsable.
  • Dificultar la revocación del consentimiento o la manifestación de la oposición a un tratamiento o cesión.
  • En la POLÍTICA DE INFORMACIÓN se establecen procedimientos claros para manifestar la revocación del consentimiento o la solicitud de oposición a un determinado tratamiento.
  • Solicitar y tratar datos especialmente protegidos sin necesidad o sin adoptar las salvaguardias necesarias.
  • En el sistema FILMIJOB no se solicitan datos especialmente protegidos.
  • Enriquecer los datos personales de forma no prevista en las finalidades iniciales y sin la información adecuada a los afectados al realizar una interconexión con otras bases de datos de la organización o de terceros, en particular, la re-identificación de información disociada.
  • En el sistema FILMIJOB no se enriquecen estos datos de forma no prevista en las finalidades iniciales.
  • Tanto los datos personales solicitados como los resultantes del tratamiento se ponen en conocimiento del interesado en el documento que explícitamente acepta.
  • Utilizar cookies de seguimiento u otros mecanismos de rastreo sin obtener un consentimiento válido tras una información adecuada.
  • Se informar con transparencia sobre el uso y finalidades de las cookies.
  • Se respetan las preferencias establecidas por los afectados en sus navegadores sobre el rastreo de su navegación.

Transferencias internacionales
Riesgos Medidas
  • Carencia de mecanismos de control de cumplimiento de las garantías establecidas para la transferencia.
  • Si existen transferencias internacionales a países fuera del Espacio Económico Europeo, implantar los procedimientos de control necesarios (incluidos los contractuales) para garantizar que se cumplen las condiciones bajo las que se llevó a cabo la transferencia. En este sentido, hay que prestar especial atención cuando se contraten servicios de cloud computing u hospedados en terceros.
  • Incapacidad de ayudar a los ciudadanos en el ejercicio de sus derechos ante el importador.
  • Asegurarse de la definición y funcionamiento de un canal de comunicación entre exportador e importador para hacer llegar las solicitudes y reclamaciones de los afectados.

Notificación de los tratamientos
Riesgos Medidas
  • Carecer de los mecanismos y procedimientos necesarios para detectar cuándo debe notificarse la creación, modificación o cancelación de un tratamiento de datos personales a la AEPD o a la autoridad de protección de datos competente.
  • Los procesos y metodologías de desarrollo de nuevos proyectos incluyen todos una fase relativa a la revisión de la necesidad de notificar nuevos ficheros a la autoridad de control.

Transparencia de los tratamientos
Riesgos Medidas
  • Recoger datos personales sin proporcionar la debida información o de manera fraudulenta o no autorizada (cookies, ubicación geográfica, comportamiento, hábitos de navegación, etc.).
  • Informar con transparencia sobre el uso y finalidades de las cookies.
  • Anualmente se revisarán los distintos formularios de recogida de datos personales que garanticen el cumplimiento de la política de privacidad, la homogeneidad de la información y, en particular, que se ofrece la información adecuada.
  • En el entorno web, ubicar la información en materia de protección de datos (políticas de privacidad, cláusulas informativas) en lugares de difícil localización o diseminada en diversas secciones y apartados que hagan muy difícil su acceso conjunto y detallado.
  • La información sobre los tratamientos de datos personales está estructurada de manera fácilmente accesible por los afectados.
  • La información que se ofrece en todos los lugares y situaciones es coherente.
  • Se ha verificado la información que se ofrece en todos los formularios.
  • Redactar la información en materia de protección de datos en un lenguaje oscuro e impreciso que impida que los afectados se hagan una idea clara y ajustada de los elementos esenciales que deben conocer para que exista un tratamiento leal de sus datos personales.
  • Las políticas de privacidad se han redactado de tal forma que toda la información queda clara, concisa y fácilmente accesible por los interesados, en formatos estandarizados, y con uniformidad en todos los entornos de la empresa.

Calidad de los datos
Riesgos Medidas
  • Solicitar datos o categorías de datos innecesarios para las finalidades del servicio.
  • Se han revisado de forma exhaustiva los flujos de información para detectar si se solicitan datos personales que luego no son utilizados en ningún proceso.
  • Existencia de errores técnicos u organizativos que propicien la falta de integridad de la información, permitiendo la existencia de registros duplicados con informaciones diferentes o contradictorias, lo que puede derivar en la toma de decisiones erróneas.
  • Se han establecido las medidas técnicas (políticas de seguridad) y organizativas (tutorial para Store Managers y formaciones a los departamentos de selección) que garantizan que las actualizaciones de datos de los interesados se comunican a todos los sistemas de información y departamentos de la empresa que están autorizados a utilizarlos.
  • Garantías insuficientes para el uso de datos personales con fines históricos, científicos o estadísticos.
  • Los datos con estos fines se usan se forma totalmente anónima.
  • Se han aplicado todas las medidas de seguridad adecuadas y correspondientes al nivel de seguridad de los datos utilizados.
  • Utilizar los datos personales para finalidades no especificadas o incompatibles con las declaradas:
    • Datos transaccionales, de navegación o de geolocalización para la monitorización del comportamiento, la realización de perfiles y la toma de decisiones sobre las personas.
    • Toma de decisiones económicas, sociales, laborales, etc., relevantes sobre las personas (en particular las que pertenecen a colectivos vulnerables) especialmente si pueden ser adversas o discriminatorias, incluyendo diferencias en los precios y costes de servicios y productos o trabas para el paso de fronteras.
    • Toma de decisiones automatizadas con posibles consecuencias relevantes para las personas.
    • Utilización de los metadatos para finalidades no declaradas o incompatibles con las declaradas.
  • Toda la información suministrada es lo suficientemente transparente y clara sobre las finalidades para las que se tratarán los datos personales, en particular, a través de la presente Política de seguridad, situada de forma visible y accesible para los interesados.
  • Se proporciona información sobre los criterios utilizados en la toma de decisiones y se permite a los interesados impugnar la decisión y solicitar que sea revisada por una persona.
  • Se proporciona información sobre las medidas que se han implantado para lograr el necesario equilibrio entre el interés legítimo del responsable y los derechos fundamentales de los interesados.
  • Realizar inferencias o deducciones erróneas (y, en su caso, perjudiciales) sobre personas específicas mediante la utilización de técnicas de inteligencia artificial (en particular, minería de datos), reconocimiento facial o análisis biométricos de cualquier tipo.
  • Se establece la entrevista personal como canal alternativo para tratar con los falsos negativos y falsos positivos en la creación de perfiles.
  • Carecer de procedimientos claros y de herramientas adecuadas para garantizar la cancelación de oficio de los datos personales una vez que han dejado de ser necesarios para la finalidad o finalidades para las que se recogieron.
  • Los plazos de cancelación de todos los datos personales en el sistema FILMIJOB es de 18 meses desde el último acceso por parte del interesado.
  • Se han implantado mecanismos para llevar a cabo y gestionar dicha cancelación en el momento adecuado.

Deber de secreto
Riesgos Medidas
  • Accesos no autorizados a datos personales.
  • Se han establecido mecanismos y procedimientos de concienciación sobre la obligación de guardar secreto sobre los datos personales que se conozcan en el ejercicio de las funciones profesionales.
  • Se han establecido procedimientos que garantizan que se notifica formalmente a los trabajadores que acceden a datos personales de la obligación de guardar secreto sobre aquellos que conozcan en el ejercicio de sus funciones y de las consecuencias de su incumplimiento.
  • Se notifica a los empleados del Responsable de tratamiento con acceso a datos que se dará traslado a las autoridades competentes de las violaciones de confidencialidad que puedan entrañar responsabilidades penales.
  • Violaciones de la confidencialidad de los datos personales por parte de los empleados de la organización.
  • Antes de dar acceso a los datos, los empleados del Responsable de tratamiento con acceso a datos recibirán una formación sobre sus obligaciones y responsabilidades respecto a la confidencialidad de la información.
  • Se notifica a los empleados del Responsable de tratamiento con acceso a datos que se dará traslado a las autoridades competentes de las violaciones de confidencialidad que puedan entrañar responsabilidades penales.

Tratamientos por encargo
Riesgos Medidas
  • Inexistencia de contrato o elaboración de un contrato incorrecto que no refleje todos los apartados necesarios y las garantías adecuadas.
  • La relación entre FILMIJOB y el CLIENTE siempre está reflejada con un contrato, ya sea a través del propio FILMIJOB o a través de CATENON.
  • Falta de diligencia (o dificultad para demostrarla) en la elección de encargado de tratamiento.
  • Se han establecido contractualmente los mecanismos oportunos de verificación y auditoría de los tratamientos para garantizar la confidencialidad de los datos..
  • Insuficiente control sobre encargados y, en particular, dificultades para comprobar o supervisar que el encargado cumple las instrucciones y, especialmente, las medidas de seguridad.
  • Se realiza un seguimiento automatizado de todos los tratamientos que se realizan sobre los datos por parte de los Encargados de tratamiento.
  • Se han definido acuerdos que garantizan el correcto cumplimiento de las instrucciones del responsable y la adopción de las medidas de seguridad adecuadas.
  • No definición o deficiencias en los procedimientos para comunicar al responsable el ejercicio de los derechos de Acceso, Rectificación, Supresión, Limitación, Oposición, Elaboración de perfiles y Portabilidad realizados ante los encargados de tratamiento.
  • FILMIJOB, como encargado de tratamiento, será el responsable de facilitar elejercicio de los derechos de Acceso, Rectificación, Supresión, Limitación, Oposición, Elaboración de perfiles y Portabilidad.
  • Se han establecido los procedimientos operativos oportunos para que esta comunicación se lleve a cabo de forma ágil y eficiente.

Derechos de Acceso, Rectificación, Supresión, Limitación, Oposición, Elaboración de perfiles y Portabilidad.
Riesgos Medidas
  • Dificultar o imposibilitar el ejercicio de los derechos de Acceso, Rectificación, Supresión, Limitación, Oposición, Elaboración de perfiles y Portabilidad..
  • Se han implantado las medidas oportunas para permitir a los afectados acceder de forma fácil, directa y con la apropiada seguridad a sus datos personales, así como ejercitar sus derechos de Acceso, Rectificación, Supresión, Limitación, Oposición, Elaboración de perfiles y Portabilidad..
  • Los procedimientos establecidos son transparentes y sencillos.
  • Se ha dado la formación oportuna a todo personal Encargado de tratamiento para que conozca qué ha de hacer si recibe una petición de derecho de Acceso, Rectificación, Supresión, Limitación, Oposición, Elaboración de perfiles y Portabilidad, o ha de informar a los afectados sobre cómo ejercerla.
  • Se han definido qué personas o departamentos se ocuparán de gestionar los derechos de Acceso, Rectificación, Supresión, Limitación, Oposición, Elaboración de perfiles y Portabilidad.
  • Carencia de procedimientos y herramientas para la gestión de los derechos de Acceso, Rectificación, Supresión, Limitación, Oposición, Elaboración de perfiles y Portabilidad.
  • Se han definido los procedimientos de gestión y puesta en marcha de herramientas que garantizan la correcta actuación ante un ejercicio de derechos de Acceso, Rectificación, Supresión, Limitación, Oposición, Elaboración de perfiles y Portabilidad y se puede suministrar la información adecuada a los afectados.
  • Carencia de procedimientos y herramientas para la comunicación de rectificaciones, cancelaciones u oposiciones a los cesionarios de los datos personales.
  • Se han definido los procedimientos de gestión y puesta en marcha de herramientas que garanticen la comunicación de rectificaciones, cancelaciones y oposiciones.

Seguridad
Riesgos Medidas
  • Inexistencia del responsable de seguridad o deficiente definición de sus funciones y competencias.
  • Alejandro Manuel López Garrido es el responsable de seguridad del servicio FILMIJOB.
  • Se incluye la participación obligatoria dentro de los procedimientos de diseño y desarrollo de nuevos proyectos la incorporación del responsable de seguridad en las fases iniciales de los mismos.
  • Deficiencias organizativas en la gestión del control de accesos.
  • Se han determinado las políticas oportunas  para la concesión de accesos a la información, para minimizar las posibilidades de acceso no autorizado a los datos personales.
  • Se han establecido procedimientos que garanticen la revocación de permisos para acceder a datos personales cuando ya no sean necesarios (abandono de la organización, traslado, cambio de funciones, etc.).
  • Deficiencias técnicas en el control de accesos que permitan que personas no autorizadas accedan y sustraigan datos personales.
  • Se han instalado herramientas que ayudan a una gestión eficaz de la seguridad y los compromisos u obligaciones legales de la organización en el área de la protección de datos personales.
  • Imposibilidad de atribuir a usuarios identificados todas las acciones que se llevan a cabo en un sistema de información.
  • Se han establecido mecanismos de registro de acciones de tratamiento sobre los datos personales.
  • Uso de identificadores que revelan información del afectado.
  • Se ha evitado el uso de identificadores ligados a elementos de autenticación, como números de tarjetas de crédito o similares, ya que favorecen el fraude en la identificación e incluso la suplantación de identidad.
  • Deficiencias en la protección de la confidencialidad de la información.
  • Se han adoptado medidas de cifrado de contraseñas (adecuadas al riesgo y al estado de la tecnología) de los datos personales almacenados para minimizar el riesgo de que terceros no autorizados accedan a ellos ante un hipotético fallo de seguridad.
  • La notificación a las personas afectadas para el caso en que sus datos hayan podido ser accedidos o sustraídos por terceros no autorizados se realizará dentro de las 72 horas posteriores al descubrimiento de la falla de seguridad.
  • Se evitan las pruebas con datos reales.
  • Se han construido canales seguros y con verificación de identidad para la distribución de información de seguridad (códigos de usuario, contraseñas, etc.).
  • Falta de formación del personal sobre las medidas de seguridad que están obligados a adoptar y sobre las consecuencias que se pueden derivar de no hacerlo.
  • La política de seguridad para el uso del servicio FILMIJOB y, en particular, sobre las obligaciones de cada empleado del Responsable de tratamiento con acceso a datos es de lectura obligatoria para tener acceso a los datos de los candidatos.
  • Se ha realizado una comunicación auditable y clara de las responsabilidades del personal en relación con el cumplimiento de las políticas y las medidas de seguridad.

4. REGISTRO DE VIOLACIONES DE SEGURIDAD (DOCUMENTACIÓN, RESOLUCIÓN Y NOTIFICACIÓN).

FILMIJOB se compromete a llevar un registro de violaciones de seguridad específico para cada CLIENTE. Este registro incluirá toda la documentación relativa a cada violación, cómo ha sido su resolución, detallando plazos y personas involucradas, y cómo se ha notificado a todos los afectados, incluido el propio CLIENTE.

5. POLÍTICA DE GESTIÓN DE INCIDENTES DE SEGURIDAD

El objeto de esta política es regular la forma en que FILMIJOB administra la respuesta ante incidentes de seguridad de la información y definir los procedimientos que se requieren a tal efecto. Así como establecer las políticas necesarias con el fin de prevenir y limitar el impacto de los mismos.

Así mismo, es un objetivo también asegurarnos de que todos los miembros de la organización conocen y aplican un procedimiento rápido y eficaz para actuar ante cualquier incidente en materia de seguridad de la información. Este procedimiento incluirá medidas para comunicar de forma correcta los incidentes a quien corresponda tanto dentro como fuera de la empresa. También incluirá los mecanismos para registrar los incidentes con sus pruebas y evidencias con objeto de estudiar su origen y evitar que ocurran en un futuro.

5.1. ANTECEDENTES

Se define INCIDENTE como cualquier evento o situación que comprometa de manera IMPORTANTE la disponibilidad, integridad y confidencialidad de la información, junto con la plataforma tecnológica, procesos y aplicativos que permitan acceder a esta de manera oportuna.

Es un hecho que a pesar de las medidas que se implanten, siempre existe el riesgo de que ocurra un incidente de ciberseguridad. Por ello, debemos preparar un plan de acción que nos indique cómo actuar de la manera más eficaz posible en estos casos. Existen muchos tipos de incidentes de ciberseguridad , algunos son más habituales que otros que podrían encajar en una de las siguientes tipologías:

  • incidentes no intencionados o involuntarios
  • daños físicos
  • incumplimiento o violación de requisitos y regulaciones legales
  • fallos en las configuraciones
  • denegación de servicio
  • acceso no autorizado, espionaje y robo de información
  • borrado o pérdida de información
  • infección por código malicioso

Para ejecutar correctamente el plan y evitar que el daño se extienda se deben detallar las acciones a realizar en cada momento, la lista de las personas involucradas y sus responsabilidades, los canales de comunicación oportunos, etc.

Tras un incidente, si hemos aplicado el plan, tendremos una valiosa información para conocer y valorar los riesgos existentes, y así evitar incidentes similares en el futuro. En caso de que ocurran incidentes graves o desastres que paralicen nuestra actividad principal, aplicaremos el plan de contingencia y continuidad del negocio.

5.2. ÁMBITO

La política de gestión de incidentes de seguridad de la información está dirigida a toda persona que tenga legítimo acceso a los sistemas informáticos de FILMIJOB, incluso aquellos gestionados mediante contratos con terceros.

5.3. RESPONSABILIDAD

FILMIJOB es responsable de:

  • Disponer de los recursos necesarios a fin de brindar una apropiada gestión de los incidentes de seguridad de la información, mediante la designación de un equipo responsable de la gestión de incidentes de seguridad.
  • Difundir la presente política a todo el personal, tanto interno como del CLIENTE que participe en el tratamiento de datos, independiente del cargo que desempeñe y de su situación contractual.

Todo el personal de FILMIJOB y del CLIENTE es responsable de:

  • Dar cumplimiento a la presente política, independiente del cargo que desempeñe y de su situación contractual.
  • Reportar los eventos de seguridad que detecte al equipo responsable de gestión de incidentes de seguridad, siguiendo los procedimientos operativos establecidos para tal fin.

5.4. DESARROLLO

FILMIJOB reconoce la importancia de gestionar los incidentes de seguridad de la información, y declara por tanto el cumplimiento con la normativa y legislación vigente en relación con aspectos de gestión de incidentes de seguridad de de la información.

Esta Política de Gestión de Incidentes de Seguridad de la Información se integrará a la normativa básica, incluyendo su difusión previa.

Es política de FILMIJOB:

  • Adoptar medidas de seguridad eficientes para proteger sus activos de información críticos.
  • Analizar los eventos de seguridad informática para determinar si se trata de un incidente de seguridad de la información.
  • Informar de forma completa e inmediata al CLIENTE acerca de la existencia de un potencial incidente de seguridad informática que afecte a activos de información críticos.
  • Ejecutar procedimientos de respuesta a incidentes para contener y mitigar el incidente.
  • Documentar y clasificar los incidentes de acuerdo con las indicaciones facilitadas en el punto anterior.
  • Investigar los incidentes de seguridad de la información que no aplican.
  • Responder por la integridad de la información generada o en su poder.
  • Aprender de los incidentes de seguridad de la información, para prevenir nuevas ocurrencias.
  • Reparar las consecuencias de los incidentes de seguridad de la información.
  • Emprender actividades post-incidente, como ser mejoras a los procesos operativos de gestión de incidentes de seguridad de la información o asegurar la retención de evidencias.

5.5. DEFINICIONES Y ABREVIATURAS

Activos de información: Son aquellos datos o información que tienen valor para una organización. [Decreto N° 451/009 de 28 de Setiembre 2009 – Art.3 Definiciones]

Activos de información críticos del Estado: Son aquellos activos de información necesarios para asegurar y mantener el correcto funcionamiento de los servicios vitales para la operación del gobierno y la economía del país. [Decreto N° 451/009 de 28 de Setiembre 2009 – Art.3 Definiciones]

Evento de seguridad informática: Es una ocurrencia identificada de un estado de un sistema, servicio o red que indica que una posible violación de la política de seguridad de la información, la falla de medidas de seguridad o una situación previamente desconocida, que pueda ser relevante para la seguridad. [Decreto N° 451/009 de 28 de Setiembre 2009 – Art.3 Definiciones]

Incidente de seguridad informática: Es una violación o una amenaza inminente de violación a una política de seguridad de la información implícita o explícita, así como un hecho que compromete la seguridad de un sistema (confidencialidad, integridad o disponibilidad). [Decreto N° 451/009 de 28 de Setiembre 2009- Art.3 Definiciones]

Incidente de Seguridad de la Información: Un incidente de seguridad de la información es indicado por un único o una serie de eventos indeseados o inesperados de seguridad de la información que tienen una probabilidad significativa de comprometer las operaciones de negocio y de amenazar la seguridad de la información. [ISO/IEC 18044:2004]

Sistema informático: Los ordenadores y redes de comunicación electrónica así como los datos electrónicos almacenados, procesados, recuperados o transmitidos por los mismos para su operación, uso, protección y mantenimiento. [Decreto N° 451/009 de 28 de Setiembre 2009- Art.3 Definiciones]

6. POLÍTICA DE CONTRASEÑAS

Las contraseñas son un aspecto muy importante de la Seguridad de la Información. Una contraseña débil puede dar lugar a accesos no autorizados y/o explotación de recursos de la empresa. Todos los usuarios, incluyendo candidatos y reclutadores con acceso a sistemas de FILMIJOB, son responsables de tomar las medidas adecuadas para seleccionar y proteger sus contraseñas, como se indica a continuación:

6.1. OBJETIVO

El propósito de esta política es establecer un estándar de uso de contraseñas seguras, la protección de esas contraseñas y su frecuencia de cambios.

6.2. ALCANCE

El alcance de esta política incluye a todos los candidatos o al personal que tiene o es responsable de una cuenta de reclutador (o cualquier forma de acceso que requiera una contraseña) en cualquier sistema de FILMIJOB mediante el cual tenga acceso a la red puntos de venta de la empresa o a cualquier información privada acerca de los candidatos.

6.3. POLÍTICA

6.3.1 Creación de Contraseñas

6.3.1.1 Todas las contraseñas de nivel de candidato y de reclutador, así como las de administrador, deben ajustarse a la siguiente Guía de construcción contraseñas:

  • Se recomienda utilizar en una misma contraseña dígitos, letras y caracteres especiales.
  • Se deben utilizar al menos 8 caracteres para crear la clave.
  • Es recomendable que las letras alternen aleatoriamente mayúsculas y minúsculas. Hay que tener presente el recordar qué letras van en mayúscula y cuáles en minúscula.
  • Se recomienda elegir una contraseña que pueda recordarse fácilmente y es deseable que pueda escribirse rápidamente, preferiblemente, sin que sea necesario mirar el teclado.
  • Las contraseñas hay que cambiarlas con una cierta regularidad. Un 53% de los usuarios no cambian nunca la contraseña salvo que el sistema le obligue a ello cada cierto tiempo. Y, a la vez, hay que procurar no generar reglas secuenciales de cambio. Por ejemplo, crear una nueva contraseña mediante un incremento secuencial del valor en relación a la última contraseña. P. ej.: pasar de “01Juitnx” a “02Juitnx”.
  • Las siguientes indicaciones pueden ayudar en la creación de una contraseña que no sea débil y se pueda recordar más fácilmente. Por ejemplo, se pueden elegir palabras sin sentido pero que sean pronunciables. Nos podemos ayudar combinando esta selección con números o letras e introducir alguna letra mayúscula. Otro método sencillo de creación de contraseñas consiste en elegir la primera letra de cada una de las palabras que componen una frase conocida, de una canción, película, etc. Con ello, mediante esta sencilla mnemotecnia es más sencillo recordarla. Ejemplo: de la frase “Comí mucho chocolate el domingo 3, por la tarde”, resultaría la contraseña: “cmCeD3-:xLt”. En ella, además, se ha introducido alguna mayúscula, se ha cambiado el “por” en una “x” y, si el sistema lo permite, se ha colocado algún signo de puntuación (-).

6.3.1.2. Así mismo, todas las contraseñas de nivel de candidato y de reclutador, así como las de administrador, deben evitar las siguientes acciones:

  • Se debe evitar utilizar la misma contraseña siempre en todos los sistemas o servicios. Por ejemplo, si se utilizan varias cuentas de correo, se debe recurrir a contraseñas distintas para cada una de las cuentas. Un 55% de los usuarios indican que utilizan siempre o casi siempre la misma contraseña para múltiples sistemas, y un 33% utilizan una variación de la misma contraseña.
  • No utilizar información personal en la contraseña: nombre del usuario o de familiares, apellidos o fecha de nacimiento. No se recomienda en absoluto el empleo de determinada información como el DNI o número de teléfono.
  • Hay que evitar utilizar secuencias básicas de teclado (por ejemplo: ”qwerty”, “asdf” o las típicas en numeración: “1234” ó “98765”)
  • No repetir los mismos caracteres en la misma contraseña. (ej.: “111222”).
  • Hay que evitar también utilizar solamente números, letras mayúsculas o minúsculas en la contraseña.
  • No se debe utilizar como contraseña, ni contener, el nombre de usuario asociado a la contraseña.
  • No utilizar datos relacionados con el usuario que sean fácilmente deducibles, o derivados de estos. (ej: no poner como contraseña apodos, el nombre del actor o de un personaje de ficción preferido, etc.).
  • No escribir ni reflejar la contraseña en un papel o documento donde quede constancia de la misma. Tampoco se deben guardar en documentos de texto dentro del propio ordenador o dispositivo (ej: no guardar las contraseñas de las tarjetas de débito/crédito en el móvil o las contraseñas de los correos en documentos de texto dentro del ordenador).
  • No se deben utilizar palabras que se contengan en diccionarios en ningún idioma. Hoy en día existen programas de ruptura de claves que basan su ataque en probar una a una las palabras que extraen de diccionarios: Este método de ataque es conocido como “ataque por diccionario”.
  • No utilizar en ningún caso contraseñas que se ofrezcan en los ejemplos explicativos de construcción de contraseñas robustas.
  • No escribir las contraseñas en ordenadores de los que se desconozca su nivel de seguridad y puedan estar monitorizados, o en ordenadores de uso público (bibliotecas, cibercafés, telecentros, etc.).

6.3.1.3. Los usuarios no deben usar la misma contraseña para el acceso a sus cuentas en aplicaciones desarrolladas por FILMIJOB que para otro tipo de accesos no relacionados con la empresa (por ejemplo, cuentas de Correo personal, Redes Sociales, etc.).

6.3.1.4. Las cuentas de usuario que tengan privilegios concedidos a nivel de sistema a través de la pertenencia a cuentas de administrador deben tener una contraseña asociada a un email corporativo de la empresa cliente.

6.3.1.5. Para la creación de la contraseña existe también la posibilidad de recurrir a herramientas y soluciones de software que creen las contraseñas seguras que vamos a utilizar.

6.3.1.6. Todas las contraseñas de nivel de sistema (por ejemplo, usuario root, admin, administrador, etc.) deben de ser cambiadas al menos una vez al año.

6.3.1.7. El Equipo de FILMIJOB o terceras partes autorizadas pueden realizar “Hacking ético” para tratar de adivinar contraseñas de forma periódica o aleatoria. Si una contraseña es adivinada o crackeada durante una de estas exploraciones, se le solicitará al usuario que la cambie para estar en conformidad con las directrices de construcción de contraseñas.

 

6.3.2. Protección de Contraseñas

6.3.2.1. Las contraseñas no deben de compartirse con nadie. Todas las contraseñas deben de ser tratadas como sensibles e información confidencial de la empresa.

6.3.2.2. Las contraseñas no se deben adjuntar en mensajes de correo electrónico u otras formas de comunicación electrónica.

6.3.2.3. Las contraseñas no deben ser reveladas por teléfono a nadie.

6.3.2.4. No debe de revelar contraseñas en cuestionarios o formularios de seguridad o de ningún tipo.

6.3.2.5. No deje pistas del formato de una contraseña (por ejemplo, “nombre de mi familia”).

6.3.2.6. No comparta contraseñas de la empresa con nadie, incluyendo asistentes, administrativos, secretarias, directivos, dueños, socios, compañeros de trabajo durante las vacaciones, amigos o miembros de la familia.

6.3.2.7. No escriba ni guarde contraseñas en post-its o papel en cualquier lugar de su oficina. No guarde las contraseñas en archivos en su computadora o dispositivos móviles (teléfonos, tablets) sin cifrado.

6.3.2.8. Cualquier usuario que sospeche que su contraseña puede haber sido comprometida debe reportar el incidente inmediatamente y cambiar todas sus contraseñas a la brevedad.

 

6.3.3. Desarrollo de Aplicaciones

FILMIJOB se compromete a que las aplicaciones desarrolladas cuenten con las siguientes medidas de seguridad:

6.3.3.1 Las Aplicaciones deben admitir autenticación de usuarios individuales, no de grupos.

6.3.3.2 Las aplicaciones no deben almacenar las contraseñas en texto claro o ni en algún formato fácilmente reversible. Sólo texto encriptado.

6.3.3.3 Las aplicaciones no deben transmitir contraseñas en texto claro por la red.

6.3.3.4 Las Aplicaciones deben proveer gestión por roles, de tal manera que un usuario pueda hacerse cargo de las funciones de otro sin necesidad de conocer la contraseña del otro.

 

6.3.4 Uso de Contraseñas y Passphrases.

Las Passphrases (Frases de Contraseña) se utilizan generalmente para la autenticación de llave pública/privada. Un sistema de llave pública/privada define una relación matemática entre la llave  pública que es conocida por todos y la llave privada, que es conocido sólo por el usuario. Sin la Passphrase para “desbloquear” la clave privada, el usuario no puede acceder. Las Passphrases no son lo mismo que las contraseñas. Una Passphrase son una versión más larga de una contraseña y es por lo tanto más segura. Una Passphrase se compone típicamente de varias palabras. Debido a esto es más segura contra “ataques de diccionario”.

Una buena Passphrase es relativamente larga y contiene una combinación de letras mayúsculas, minúsculas, caracteres numéricos y de puntuación. Un ejemplo de una buena Passphrase: “El*TraficoEnLa101Estava&EstaMañana”

Todas las reglas anteriores que aplican a las contraseñas aplican a las Passphrases.

6.4. CUMPLIMIENTO DE LA POLÍTICA

6.4.1 Medidas de Cumplimiento

El equipo de FILMIJOB verificará el cumplimiento de esta política a través de diversos métodos, incluyendo, pero no limitando a, revisiones periódicas, informes de la herramientas de negocio, y auditorías internas y externas.

6.4.2 Excepciones

Cualquier excepción a la norma debe ser aprobada por el Equipo de FILMIJOB con antelación.

6.4.3 Incumplimiento

Si un empleado viola la presente política de protección de contraseña, estará sujeto a medidas disciplinarias, donde se contemplará la terminación del empleo.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies