by

PLA DE PROTECCIÓ

POLITICA DE PROTECCIÓ DE DADES

1. Justificació i Marc Legal

Aquest projecte es regeix pel Reglament General de Protecció de Dades (RGPD) de la Unió Europea 2016/679 i la Llei Orgànica 3/2018 (LOPDGDD) d’Espanya.

  • Per què cal protegir la informació? La protecció de les dades dels treballadors i col·laboradors és un dret fonamental. Garantir la confidencialitat evita riscos com el robatori d’identitat, el frau financer o la pèrdua de propietat intel·lectual del projecte.

  • Riscos i sancions: L’incompliment de la normativa pot comportar sancions econòmiques greus (fins a 20 milions d’euros o el 4% de la facturació anual) i la pèrdua total de confiança per part de clients i socis.

2. Implementació i Mesures de Seguretat

Per protegir la integritat i confidencialitat de les dades, hem implementat les següents mesures:

  • Dades a protegir: Credencials d’accés, claus privades del projecte, dades identificatives dels membres de l’equip i codi font.

  • Mesures Tècniques (Evidència SSH): * S’han generat claus SSH per evitar l’ús de contrasenyes vulnerables.

    • L’accés als servidors està limitat exclusivament als dos ordinadors autoritzats mitjançant la clau pública.

    • S’utilitzen passphrases (frases de pas) per xifrar la clau privada localment.

  • Responsabilitat de l’empresa: L’empresa es compromet a no cedir dades a tercers sense consentiment i a mantenir els sistemes actualitzats per evitar vulnerabilitats.

3. Protocol d’Actuació en cas d’Incompliment

En cas de detectar-se una esquerda de seguretat o un accés no autoritzat:

  1. Bloqueig immediat: Es revocaran les claus SSH afectades.

  2. Investigació: S’analitzaran els logs d’accés per identificar l’origen de la filtració.

  3. Notificació: Segons el RGPD, si les dades personals estan en risc, es notificarà a l’Autoritat de Protecció de Dades (AEPD) en un màxim de 72 hores.

A l’imatge de sobre es veu com s’han generat les claus ssh i s’han inplementat passphrases per xifrar la clau privada.

També es pot veure com s’ha copiat la clau al segon ordinador:

Política de Seguretat de Contrasenyes

1. Objectiu

L’objectiu d’aquesta política és establir un estàndard per a la creació, protecció i canvi de les contrasenyes, amb la finalitat de minimitzar els riscos d’accés no autoritzat als sistemes de l’organització.

2. Requisits de Complexitat

Les contrasenyes han de ser difícils d’endevinar tant per humans com per atacs automatitzats. Es recomana l’ús de frases de pas (passphrases).

  • Longitud mínima: 12 caràcters (es recomanen 14 o més).

  • Composició: Ha d’incloure elements de com a mínim tres dels següents grups:

    • Lletres majúscules (A-Z).

    • Lletres minúscules (a-z).

    • Números (0-9).

    • Caràcters especials (p. ex., ! @ # $ % & *).

  • Prohibicions: No poden contenir el nom d’usuari, el nom real de la persona o dades personals òbvies (dates de naixement, noms de mascotes, etc.).

3. Gestió i Caducitat

  • Canvi de contrasenya: No es requerirà un canvi periòdic obligatori (com cada 90 dies) a menys que hi hagi indicis d’una possible vulneració. Això evita que els usuaris triïn contrasenyes febles o predictibles.

  • Historial: En cas de canvi, no es podran reutilitzar les darreres 5 contrasenyes.

  • Bloqueig de compte: El compte es bloquejarà temporalment després de 5 intents fallits consecutius.

4. Bones Pràctiques de Protecció

  • Confidencialitat: Les contrasenyes són personals i intransferibles. Està totalment prohibit compartir-les amb companys, superiors o serveis tècnics.

  • Escriptura física: No s’han d’escriure mai les contrasenyes en papers, post-its o fitxers de text sense xifrar.

ACTUALITZACIÓ DEL SO